Eine sichere und belastbare Infrastruktur ist die Lebensader jeder Organisation. Organisationen müssen neue Common Vulnerabilities and Exposures (CVEs) verfolgen und die Auswirkungen von CVEs auf ihre Infrastruktur bewerten. Sie müssen außerdem die Maßnahmen zur Behebung der Schwachstellen verstehen und planen. Mit der Sicherheitshinweisfunktion in der NetScaler-Konsole können Sie die CVEs identifizieren, die Ihre NetScaler-Instanzen gefährden, und Abhilfemaßnahmen empfehlen. Highlights der Sicherheitsempfehlung zur NetScaler-Konsole:
Erkennung und Behebung häufiger Sicherheitslücken und Gefährdungen (CVEs) – Ermöglicht Ihnen die Identifizierung der CVEs, die Ihre NetScaler-Instanzen gefährden, und empfiehlt Abhilfemaßnahmen.
Dateiintegritätsüberwachung – Ermöglicht Ihnen, festzustellen, ob an Ihren NetScaler-Build-Dateien Änderungen oder Ergänzungen vorgenommen wurden.
Als Administrator müssen Sie Folgendes sicherstellen:
Verfolgen Sie alle neuen Common Vulnerabilities and Exposures (CVEs), bewerten Sie die Auswirkungen der CVEs, verstehen Sie die Abhilfemaßnahmen und beheben Sie die Schwachstellen.
Überprüfen Sie die Integrität Ihrer NetScaler-Builddateien.
In der NetScaler Console on-prem 25.x und späteren Builds ist Security Advisory standardmäßig automatisch aktiviert.
Zu beachtende Punkte:
Die Dateiintegrität wird ab 14.1-34.x und späteren Builds unterstützt. Die Überwachung der Dateiintegrität wird durch den automatisierten Telemetriemodus von NetScaler aktiviert, sofern alle Voraussetzungen erfüllt sind. Weitere Informationen finden Sie unter Automatisierter Telemetrieerfassungsmodus. Wenn eine der Voraussetzungen nicht erfüllt ist, wird die Registerkarte „Dateiintegritätsüberwachung“ in der Sicherheitsberatung nicht angezeigt.
Neue CVE-Updates werden automatisch über den automatisch aktivierten Kanal synchronisiert.
Optionale Telemetriedaten werden erfasst, wenn Sie Sicherheitshinweisaktivieren. Es wird empfohlen, die Sicherheitsberatung zu aktivieren, um die neuesten CVE-Updates anzuzeigen. Sie können die optionalen Parameter jedoch auch deaktivieren. Zum Deaktivieren müssen Sie zuerst die Sicherheitsberatung auf der NetScaler-Telemetrieseite deaktivieren, dann zu Einstellungen > Verwaltung > navigieren, die Datenfreigabe der Konsolenfunktion aktivieren oder deaktivierenund das Kontrollkästchen Ich stimme der Freigabe von Nutzungsdaten der Konsolenfunktion zu deaktivieren.
Wenn Sie auf der Seite „Sicherheitshinweis“ ein Banner bemerken, in dem darauf hingewiesen wird, dass neue CVE-Updates nicht synchronisiert sind, überprüfen Sie die NetScaler-Telemetrie in der lokalen GUI der Konsole auf die folgenden Probleme:
Die folgende Tabelle enthält Details zur Verfügbarkeit der Sicherheitshinweisfunktion in verschiedenen lokalen Builds der NetScaler-Konsole:
| Bauen | Verfügbarkeit der Sicherheitshinweisfunktion | Handlungsbedarf | Datenerhebung |
|---|---|---|---|
| 14.1-25.x oder höher | Sicherheitshinweis ist standardmäßig aktiviert | Stellen Sie sicher, dass der Telemetrieerfassungsmodus auf „Automatisiert“ eingestellt ist, die Sicherheitsberatung aktiviert ist und die erforderlichen URLs erreichbar sind. | Ja. Sowohl erforderliche als auch optionale Parameter werden über das NetScaler-Telemetrieprogrammerfasst. |
| Zwischen 14.1-8.x und 14.1-21.x | Die Sicherheitsberatung wird über Cloud Connect aktiviert. | Konfigurieren Sie Cloud Connect und aktivieren Sie Sicherheitshinweis. | Ja. Nach der Konfiguration von Cloud Connect. |
| 14.1-4.x oder früher | Sicherheitshinweis ist nur im Vorschaumodus verfügbar. | Keine Aktion erforderlich | NEIN |
Die folgenden Sicherheitshinweise helfen Ihnen, Ihre Infrastruktur zu schützen:
CVEs:
| Merkmale | Beschreibung |
|---|---|
| Systemscan | Scannt alle verwalteten Instanzen standardmäßig einmal pro Woche. Die NetScaler-Konsole legt Datum und Uhrzeit der Systemscans fest und Sie können diese nicht ändern. |
| On-Demand-Scan | Sie können die Instanzen bei Bedarf manuell scannen. Wenn seit dem letzten Systemscan viel Zeit vergangen ist, können Sie einen On-Demand-Scan ausführen, um die aktuelle Sicherheitslage zu beurteilen. Oder scannen Sie nach der Anwendung einer Korrektur, um die überarbeitete Haltung zu beurteilen. |
| CVE-Auswirkungsanalyse | Zeigt die Ergebnisse aller CVEs, die Ihre Infrastruktur beeinträchtigen, sowie aller betroffenen NetScaler-Instanzen und schlägt Abhilfemaßnahmen vor. Verwenden Sie diese Informationen, um Sicherheitsrisiken durch entsprechende Maßnahmen zu beheben. |
| Scan-Protokoll | Speichert die Kopien der letzten fünf Scans. Sie können diese Berichte im CSV- und PDF-Format herunterladen und analysieren. |
| CVE-Repository | Bietet eine detaillierte Übersicht über alle NetScaler-bezogenen CVEs, die Citrix seit Dezember 2019 angekündigt hat und die sich auf Ihre NetScaler-Infrastruktur auswirken könnten. Sie können diese Ansicht verwenden, um die CVEs im Rahmen der Sicherheitsempfehlung zu verstehen und mehr über die CVE zu erfahren. Informationen zu nicht unterstützten CVEs finden Sie unter Nicht unterstützte CVEs im Sicherheitshinweis. |
Überwachung der Dateiintegrität:
| Merkmale | Beschreibung |
|---|---|
| On-Demand-Scan | Sie müssen einen On-Demand-Scan ausführen, um Ergebnisse zu allen in NetScaler-Build-Dateien erkannten Dateiänderungen zu erhalten. |
| Scan zur Überwachung der Dateiintegrität | Vergleicht den binären Hashwert Ihrer aktuellen NetScaler-Builddateien mit dem ursprünglichen binären Hash und hebt hervor, ob Dateiänderungen oder Dateiergänzungen vorhanden sind. Sie können die Scanergebnisse unter der Registerkarte Dateiintegritätsüberwachung anzeigen. |
Die Sicherheitsempfehlung unterstützt keine NetScaler-Builds, die das End of Life (EOL) erreicht haben. Wir empfehlen Ihnen, auf die von NetScaler unterstützten Builds oder Versionen zu aktualisieren.
Für die CVE-Erkennung unterstützte Instanzen: alle NetScaler (SDX, MPX, VPX) und Gateway.
Für die Dateiintegritätsüberwachung unterstützte Instanzen: MPX, VPX-Instanzen und Gateway.
Unterstützte CVEs: Alle CVEs nach Dezember 2019.
Notiz:
Die Erkennung und Behebung von Sicherheitslücken, die das NetScaler Gateway-Plug-In für Windows betreffen, wird durch die Sicherheitsempfehlung der NetScaler-Konsole nicht unterstützt. Informationen zu nicht unterstützten CVEs finden Sie unter Nicht unterstützte CVEs im Sicherheitshinweis.
Die Sicherheitsempfehlung zur NetScaler-Konsole berücksichtigt bei der Identifizierung der Sicherheitslücke keine Funktionsfehlkonfigurationen.
Die Sicherheitsempfehlung der NetScaler-Konsole unterstützt nur die Identifizierung und Behebung der CVEs. Es unterstützt nicht die Identifizierung und Behebung der Sicherheitsbedenken, die im Sicherheitsartikel hervorgehoben werden.
Umfang der NetScaler- und Gateway-Versionen: Die Funktion ist auf Hauptbuilds beschränkt. Der Umfang der Sicherheitsempfehlung umfasst keine speziellen Builds.
Für CVEs stehen folgende Scantypen zur Verfügung:
Versionsscan: Dieser Scan benötigt die NetScaler-Konsole, um die Version einer NetScaler-Instanz mit den Versionen und Builds zu vergleichen, für die der Fix verfügbar ist. Dieser Versionsvergleich hilft der Sicherheitsberatung der NetScaler-Konsole dabei, festzustellen, ob NetScaler für die CVE anfällig ist. Wenn beispielsweise eine CVE in einer NetScaler-Version und im Build xx.yy behoben ist, betrachtet die Sicherheitsempfehlung alle NetScaler-Instanzen auf Builds kleiner als xx.yy als anfällig. Der Versionsscan wird heute in der Sicherheitsberatung unterstützt.
Konfigurationsscan: Dieser Scan benötigt die NetScaler-Konsole, um ein für den CVE-Scan spezifisches Muster mit der NetScaler-Konfigurationsdatei (nsconf) abzugleichen. Wenn das spezifische Konfigurationsmuster in der NetScaler-Datei ns.conf vorhanden ist, gilt die Instanz als anfällig für diese CVE. Dieser Scan wird normalerweise zusammen mit dem Versionsscan verwendet. Der Konfigurationsscan wird heute in der Sicherheitsberatung unterstützt.
Benutzerdefinierter Scan: Für diesen Scan muss die NetScaler-Konsole eine Verbindung mit der verwalteten NetScaler-Instanz herstellen, ein Skript dorthin übertragen und das Skript ausführen. Die Skriptausgabe hilft der NetScaler-Konsole dabei, festzustellen, ob NetScaler für die CVE anfällig ist. Beispiele hierfür sind die Ausgabe bestimmter Shell-Befehle, die Ausgabe bestimmter CLI-Befehle, bestimmte Protokolle sowie die Existenz oder der Inhalt bestimmter Verzeichnisse oder Dateien. Security Advisory verwendet auch benutzerdefinierte Scans für Übereinstimmungen mit mehreren Konfigurationsmustern, wenn der Konfigurationsscan dabei nicht helfen kann. Bei CVEs, die benutzerdefinierte Scans erfordern, wird das Skript jedes Mal ausgeführt, wenn Ihr geplanter oder On-Demand-Scan ausgeführt wird. Weitere Informationen zu den erfassten Daten und Optionen für bestimmte benutzerdefinierte Scans finden Sie in der Sicherheitshinweisdokumentation zu diesem CVE.
Für die Dateiintegritätsüberwachung ist folgender Scan verfügbar:
Dateiintegritätsüberwachungsscan: Für diesen Scan muss die NetScaler-Konsole eine Verbindung mit der verwalteten NetScaler-Instanz herstellen. Die NetScaler-Konsole führt einen Vergleich der Hashwerte durch, indem sie ein Skript in NetScaler ausführt und die aktuellen binären Hashwerte für die NetScaler-Builddateien sammelt. Nach dem Vergleich stellt die NetScaler-Konsole das Ergebnis mit der Gesamtzahl der geänderten vorhandenen Dateien und der Gesamtzahl der neu hinzugefügten Dateien bereit. Als Administrator können Sie sich für weitere Untersuchungen der Scanergebnisse an die digitale Forensik Ihrer Organisation wenden.
Die folgenden Dateien werden gescannt:
/netscaler
/bin, /sbin, /usr/bin, /usr/sbin, /usr/local/bin, /usr/local/sbin
/lib, /libexec, /usr/lib, /usr/libexec, /usr/local/lib, /usr/lib32, /compat
/usw
Der Rest von /usr
/root, /home, /mnt
Scans wirken sich nicht auf den Produktionsverkehr auf NetScaler aus und ändern keine NetScaler-Konfiguration auf NetScaler.
Die Sicherheitsempfehlung zur NetScaler-Konsole unterstützt keine CVE-Minderung. Wenn Sie eine Schadensbegrenzung (vorübergehende Problemumgehung) auf die NetScaler-Instanz angewendet haben, identifiziert die NetScaler-Konsole den NetScaler weiterhin als anfälligen NetScaler, bis Sie die Behebung abgeschlossen haben.
Für die FIPS-Instanzen wird der CVE-Scan nicht unterstützt, der File Integrity Monitoring-Scan jedoch schon.
Einige Dateiänderungen können im Rahmen des normalen Gerätebetriebs auftreten, während andere möglicherweise weitere Untersuchungen erfordern. Beim Überprüfen von Dateiänderungen kann Folgendes hilfreich sein:
Durch die Verwendung von Skripten oder Plug-Ins können Änderungen im Verzeichnis /netscaler (in den Dateien .html und .js ) auftreten.
Das Verzeichnis /etc enthält Konfigurationsdateien, die nach dem Booten des Systems durch unerwartete Eingriffe geändert werden können.
Ungewöhnlich wäre es, wenn:
Berichte in den Verzeichnissen /bin, /sbinoder /lib
Neue .php-Dateien im Verzeichnis /netscaler
Um auf das Dashboard Sicherheitshinweis zuzugreifen, navigieren Sie von der NetScaler-Konsolen-GUI zu Infrastruktur > Instanzhinweis > Sicherheitshinweis.
Das Dashboard umfasst drei Registerkarten:
Aktuelle CVEs
Überwachung der Dateiintegrität
Scan-Protokoll
CVE-Repository
Wichtig:
In der GUI oder im Bericht des -Sicherheitshinweises werden möglicherweise nicht alle CVEs angezeigt und Sie sehen möglicherweise nur eine CVE. Klicken Sie als Workaround auf Jetzt scannen , um einen On-Demand-Scan auszuführen. Nachdem der Scan abgeschlossen ist, werden alle CVEs im Umfang (ungefähr 15) in der Benutzeroberfläche oder im Bericht angezeigt.
In der oberen rechten Ecke des Dashboards befindet sich das Einstellungssymbol, mit dem Sie Folgendes tun können:
Aktivieren und Deaktivieren von Benachrichtigungen (gilt nur für CVEs).
Sie können die folgenden Benachrichtigungen zu CVEs-Auswirkungen erhalten.
E-Mail-, Slack-, PagerDuty- und ServiceNow-Benachrichtigungen zu Änderungen der CVE-Scan-Ergebnisse und neuen CVEs, die dem CVE-Repository hinzugefügt werden.
Cloud-Benachrichtigung über Änderungen der CVE-Auswirkungs-Scanergebnisse.
Konfigurieren Sie benutzerdefinierte Scan-Einstellungen (gilt nur für CVEs)
Sie können auf die Liste „ Benutzerdefinierte Scaneinstellungen “ klicken, um das Kontrollkästchen für zusätzliche Einstellungen anzuzeigen. Sie haben die Möglichkeit, das Kontrollkästchen zu aktivieren und diese benutzerdefinierten CVE-Scans abzulehnen. Die Auswirkungen der CVEs, die einen benutzerdefinierten Scan erfordern, werden für Ihre NetScaler-Instanzen im Sicherheitshinweis nicht bewertet.
Auf dieser Registerkarte wird die Anzahl der CVEs angezeigt, die Ihre Instanzen beeinträchtigen, sowie die Instanzen, die von CVEs betroffen sind. Die Registerkarten sind nicht sequenziell und Sie als Administrator können je nach Anwendungsfall zwischen diesen Registerkarten wechseln.
Die Tabelle mit der Anzahl der CVEs, die sich auf die NetScaler-Instanzen auswirken, enthält die folgenden Details.
CVE-ID: Die ID des CVE, das die Instanzen betrifft.
Veröffentlichungsdatum: Das Datum, an dem das Sicherheitsbulletin für diese CVE veröffentlicht wurde.
Schweregrad: Der Schweregradtyp (hoch/mittel/kritisch) und die Punktzahl. Um die Punktzahl anzuzeigen, bewegen Sie den Mauszeiger über den Schweregradtyp.
Schwachstellentyp: Der Schwachstellentyp für diese CVE.
Betroffene NetScaler-Instanzen: Die Anzahl der Instanzen, die von der CVE-ID betroffen sind. Wenn Sie mit der Maus darüber fahren, wird die Liste der NetScaler-Instanzen angezeigt.
Abhilfe: Die verfügbaren Abhilfemaßnahmen, bei denen es sich (normalerweise) um ein Upgrade der Instanz oder das Anwenden von Konfigurationspaketen handelt.
Dieselbe Instanz kann von mehreren CVEs betroffen sein. Mithilfe dieser Tabelle können Sie erkennen, wie viele Instanzen von einem bestimmten CVE oder mehreren ausgewählten CVEs betroffen sind. Um die IP-Adresse der betroffenen Instanz zu überprüfen, bewegen Sie den Mauszeiger über NetScaler-Details unter Betroffene NetScaler-Instanzen. Um die Details der betroffenen Instanz zu überprüfen, klicken Sie unten in der Tabelle auf Betroffene Instanzen anzeigen . Sie können der Tabelle auch Spalten hinzufügen oder daraus entfernen, indem Sie auf das Pluszeichen klicken.
Auf diesem Bildschirm beträgt die Anzahl der CVEs, die Ihre Instanzen betreffen, 3 CVEs und die Anzahl der Instanzen, die von diesen CVEs betroffen sind, beträgt eine.
Die Registerkarte <number of> NetScaler-Instanzen sind von CVEs betroffen. zeigt Ihnen alle betroffenen NetScaler-Konsolen-NetScaler-Instanzen. Die Tabelle zeigt folgende Details:
Sie können diese Spalten nach Bedarf hinzufügen oder entfernen, indem Sie auf das +-Zeichen klicken.
Um das Sicherheitsproblem zu beheben, wählen Sie die NetScaler-Instanz aus und wenden Sie die empfohlene Abhilfemaßnahme an. Die meisten CVEs müssen zur Behebung aktualisiert werden, während für andere ein Upgrade und ein zusätzlicher Schritt zur Behebung erforderlich sind.
Informationen zur Behebung von CVE-2020-8300 finden Sie unter Beheben von Schwachstellen für CVE-2020-8300.
Informationen zu CVE-2021-22927 und CVE-2021-22920 finden Sie unter . Beheben Sie die Schwachstellen für CVE-2021-22927 und CVE-2021-22920.
Informationen zu CVE CVE-2021-22956 finden Sie unter . Identifizieren und beheben Sie Schwachstellen für CVE-2021-22956
Informationen zu CVE CVE-2022-27509 finden Sie unter . Beheben Sie Schwachstellen für CVE-2022-27509.
Notiz
Wenn Ihre NetScaler-Instanzen Anpassungen aufweisen, lesen Sie Upgrade-Überlegungen für benutzerdefinierte NetScaler-Konfigurationen , bevor Sie ein NetScaler-Upgrade planen.
Upgrade: Sie können die anfälligen NetScaler-Instanzen auf eine Version und einen Build aktualisieren, die den Fix enthalten. Dieses Detail ist in der Spalte „Sanierung“ zu sehen. Wählen Sie zum Upgrade die Instanz aus und klicken Sie dann auf . Fahren Sie mit dem Upgrade-Workflow fort:. Im Upgrade-Workflow wird der anfällige NetScaler automatisch als Ziel-NetScaler eingetragen.
Notiz
Die Versionen 12.0, 11.0, 10.5 und niedriger haben bereits das Ende ihres Lebenszyklus erreicht (EOL). Wenn Ihre NetScaler-Instanzen auf einer dieser Versionen ausgeführt werden, führen Sie ein Upgrade auf eine unterstützte Version durch.
Der Upgrade-Workflow wird gestartet. Weitere Informationen zur Verwendung der NetScaler-Konsole zum Aktualisieren von NetScaler-Instanzen finden Sie unter Verwenden von Jobs zum Aktualisieren von NetScaler-Instanzen.
Notiz
Auf welche Version und welchen Build Sie aktualisieren möchten, bleibt Ihrem Ermessen überlassen. Lesen Sie die Hinweise in der Spalte „Abhilfe“, um zu erfahren, welche Versionen und Builds über den Sicherheitsfix verfügen. Wählen Sie dementsprechend eine unterstützte Version und einen unterstützten Build aus, der das Ende seiner Lebensdauer noch nicht erreicht hat.
Auf dieser Registerkarte wird das Scanergebnis der Dateiintegritätsüberwachung mit NetScaler-Instanzen angezeigt, die Änderungen oder Ergänzungen an den ursprünglichen NetScaler-Builddateien aufweisen.
Das folgende Beispiel zeigt das Scan-Ergebnis für zwei betroffene NetScaler-Instanzen mit geänderten vorhandenen Dateien und neuen Dateien, die den ursprünglichen Build-Dateien hinzugefügt wurden.
Klicken Sie auf die Zahlen unter Vorhandene Dateien geändert und Neue Dateien hinzugefügt , um Details anzuzeigen.
Die Registerkarte zeigt Berichte der letzten fünf CVE-Scans, die sowohl Standardsystemscans als auch vom Benutzer initiierte On-Demand-Scans umfassen. Sie können den Bericht jedes Scans im CSV- und PDF-Format herunterladen. Wenn ein On-Demand-Scan ausgeführt wird, können Sie auch den Abschlussstatus sehen.
Diese Registerkarte enthält die neuesten Informationen zu allen CVEs vom Dezember 2019 sowie die folgenden Details:
Links zu Sicherheitsbulletins
Sie können die Instanzen jederzeit nach Bedarf scannen.
Klicken Sie auf Jetzt scannen , um nach CVEs zu suchen, die sich auf Ihre NetScaler-Instanzen auswirken. Sobald der Scan abgeschlossen ist, werden die überarbeiteten Sicherheitsdetails in der GUI des Sicherheitshinweises angezeigt.
Die NetScaler-Konsole benötigt einige Minuten, um den Scan abzuschließen.
Als Administrator erhalten Sie Citrix Cloud-Benachrichtigungen, die Ihnen mitteilen, wie viele NetScaler-Instanzen durch CVEs anfällig sind. Um die Benachrichtigungen anzuzeigen, klicken Sie auf das Glockensymbol in der oberen rechten Ecke der NetScaler Console-GUI.
Haftungsausschluss:
Bitte beachten Sie, dass NetScaler File Integrity Monitoring („die Funktion“) nicht alle Techniken, Taktiken oder Verfahren (TTPs) erkennen kann, die Bedrohungsakteure möglicherweise verwenden, wenn sie auf relevante Umgebungen abzielen. Bedrohungsakteure ändern TTPs und Infrastruktur häufig, weshalb die Funktion im Hinblick auf bestimmte Bedrohungen möglicherweise nur einen begrenzten oder gar keinen forensischen Wert hat. Es wird Ihnen dringend empfohlen, die Dienste erfahrener forensischer Ermittler in Anspruch zu nehmen, um Ihre Umgebung im Hinblick auf mögliche Bedrohungen zu untersuchen.
Dieses Dokument und die darin enthaltenen Informationen werden im vorliegenden Zustand bereitgestellt. Cloud Software Group, Inc. übernimmt keine Garantien oder Zusicherungen, weder ausdrücklich noch stillschweigend, hinsichtlich des Dokuments oder seines Inhalts, einschließlich, aber nicht beschränkt auf die Garantie, dass dieses Dokument oder die darin enthaltenen Informationen fehlerfrei sind oder die Bedingungen der Marktgängigkeit oder Eignung für einen bestimmten Zweck erfüllen.