NetScaler Console-Dienst

CVE-Erkennung

NetScaler erkennt CVEs, indem es Instanzversionen, Konfigurationen und Systemdateien scannt, um Schwachstellen zu identifizieren. Es verwendet ein aktualisiertes CVE-Repository und bietet detaillierte Auswirkungsanalysen und Vorschläge zur Behebung.

Der Abschnitt CVE-Erkennung im Dashboard Sicherheitshinweis listet Folgendes auf:

  • Anzahl der erkannten CVEs
  • Anzahl der betroffenen NetScaler-Instanzen
  • Datum des letzten Scans
  • Betroffene NetScaler-Instanzen, kategorisiert nach den Schweregraden Kritisch, Hoch, Mittel und Niedrig

Abschnitt CVE-Erkennung

Als Administrator können Sie NetScaler erlauben, die periodisch geplanten Systemscans auszuführen, oder Sie können bei Bedarf On-Demand-Scans durchführen.

  • Systemscan – Scannt standardmäßig alle verwalteten Instanzen. NetScaler Console legt Datum und Uhrzeit der Systemscans fest, und Sie können diese nicht ändern.
  • On-Demand-Scan – Sie können die Instanzen bei Bedarf manuell scannen. Wenn seit dem letzten Systemscan viel Zeit vergangen ist, können Sie einen On-Demand-Scan durchführen, um die aktuelle Sicherheitslage zu bewerten. Oder scannen Sie nach der Anwendung einer Behebung, um die überarbeitete Lage zu bewerten. Um den On-Demand-Scan auszuführen, klicken Sie im Sicherheitshinweis auf Jetzt scannen.

Sie können auf den Abschnitt CVE-Erkennung klicken, um detaillierte Informationen anzuzeigen.

Abschnitt CVE-Erkennung

Der Abschnitt CVE-Erkennung bietet zwei Ansichten:

  • Instanzansicht
  • CVE-Ansicht

Instanzansicht

Die Instanzansicht enthält die Registerkarten Betroffene Instanzen und CVE-Repository.

Die Registerkarte Betroffene Instanzen zeigt die Liste der betroffenen NetScaler-Instanzen an.

Ansicht der betroffenen Instanzen

Die betroffenen Instanzen werden basierend auf den folgenden Formfaktoren kategorisiert:

  • MPX und VPX
  • SDX
  • CPX
  • BLX

Sie können die Instanzen auch anhand der folgenden Kriterien durchsuchen:

  • Erkannte CVE
  • Hostname
  • Modell
  • NetScaler-Instanz
  • Status

Die Tabelle zeigt die folgenden Details:

  • NetScaler-IP-Adresse
  • Hostname
  • NetScaler-Modellnummer
  • Status des NetScaler
  • Softwareversion und Build
  • Liste der CVEs, die den NetScaler betreffen.

Die meisten CVEs erfordern ein Upgrade als Behebung, während andere ein Upgrade und einen zusätzlichen Schritt als Behebung benötigen.

Sie können die anfälligen NetScaler-Instanzen auf eine Version und einen Build aktualisieren, die den Fix enthalten. Führen Sie zum Upgrade einen der folgenden Schritte aus:

  • Upgrade-Workflow – Wählen Sie eine Instanz aus und klicken Sie auf Mit Upgrade-Workflow fortfahren.
  • Konfigurationsauftrags-Workflow – Wählen Sie eine Instanz aus und klicken Sie auf Konfigurationsauftrags-Workflow.

Der Upgrade-Workflow startet, und der anfällige NetScaler wird automatisch als Ziel-NetScaler eingetragen. Weitere Informationen zur Verwendung von NetScaler Console zum Upgrade von NetScaler-Instanzen finden Sie unter Verwenden von Aufträgen zum Upgrade von NetScaler-Instanzen.

Hinweis:

  • Die Releases 13.0, 12.1, 12.0, 11.0, 10.5 und niedrigere Versionen haben bereits das End of Life (EOL) erreicht. Wenn Ihre NetScaler-Instanzen auf einer dieser Releases ausgeführt werden, führen Sie ein Upgrade auf eine unterstützte Release durch.

  • Die Release und der Build, auf die Sie aktualisieren möchten, liegen in Ihrem Ermessen. Beachten Sie die Hinweise in der Spalte „Behebung“, um zu erfahren, welche Release und Builds den Sicherheitsfix enthalten. Wählen Sie dementsprechend eine unterstützte Release und einen Build aus, die noch nicht das End of Life erreicht haben.

Um zur CVE-Ansicht zu wechseln, klicken Sie auf Zur CVE-Ansicht wechseln.

CVE-Ansicht

Die CVE-Ansicht zeigt die Ergebnisse aller CVEs, die Ihre Infrastruktur betreffen, sowie alle betroffenen NetScaler-Instanzen an und schlägt Behebungsmaßnahmen vor. Sie können diese Informationen verwenden, um Behebungsmaßnahmen zur Behebung von Sicherheitsrisiken anzuwenden.

Registerkarte CVE-Ansicht

Die Tabelle, die die Anzahl der CVEs anzeigt, die die NetScaler-Instanzen betreffen, enthält die folgenden Details.

  • CVE-ID: Die ID des CVE, der die Instanzen betrifft.

  • Veröffentlichungsdatum: Das Datum, an dem das Sicherheitsbulletin für diesen CVE veröffentlicht wurde.

  • Schweregrad-Score: Der Schweregradtyp (hoch/mittel/kritisch) und der Score. Um den Score anzuzeigen, fahren Sie mit der Maus über den Schweregradtyp.

  • Schwachstellentyp: Der Typ der Schwachstelle für diesen CVE.

  • Betroffene NetScaler-Instanzen: Die Anzahl der Instanzen, die von der CVE-ID betroffen sind. Beim Überfahren mit der Maus wird die Liste der NetScaler-Instanzen angezeigt.

  • Behebung: Die verfügbaren Behebungsmaßnahmen, die ein Upgrade der Instanz (üblicherweise) oder die Anwendung von Konfigurationspaketen sind.

Dieselbe Instanz kann von mehreren CVEs betroffen sein. Diese Tabelle hilft Ihnen zu sehen, wie viele Instanzen ein bestimmter CVE oder mehrere ausgewählte CVEs betreffen. Um die IP-Adresse der betroffenen Instanz zu überprüfen, fahren Sie mit der Maus über „NetScaler-Details“ unter Betroffene NetScaler-Instanzen. Um die Details der betroffenen Instanz zu überprüfen, klicken Sie unten in der Tabelle auf Betroffene Instanzen anzeigen. Sie können auch Spalten in der Tabelle hinzufügen oder entfernen, indem Sie auf das Pluszeichen klicken.

CVE-Repository

Sowohl die Instanzansicht als auch die CVE-Ansicht enthalten die Registerkarte CVE-Repository. Diese Registerkarte bietet eine detaillierte Ansicht aller NetScaler-bezogenen CVEs, die Citrix seit Dezember 2019 angekündigt hat und die Ihre NetScaler-Infrastruktur betreffen könnten.

  • CVE-IDs
  • Schwachstellentyp
  • Veröffentlichungsdatum
  • Schweregrad
  • Behebung
  • Links zu Sicherheitsbulletins

Registerkarte CVE-Repository

Sie können diese Ansicht verwenden, um die CVEs im Bereich des Sicherheitshinweises zu verstehen und mehr über den CVE zu erfahren. Informationen zu nicht unterstützten CVEs finden Sie unter Nicht unterstützte CVEs im Sicherheitshinweis.

Hinweise

  • Der Sicherheitshinweis unterstützt keine NetScaler-Builds, die das End of Life (EOL) erreicht haben. Wir empfehlen Ihnen, auf die von NetScaler unterstützten Builds oder Versionen zu aktualisieren.

  • Für die CVE-Erkennung unterstützte Instanzen: alle NetScaler (SDX, MPX, VPX) und Gateway.

  • Für die Dateiintegritätsüberwachung unterstützte Instanzen: MPX-, VPX-Instanzen und Gateway.

  • Unterstützte CVEs: Alle CVEs nach Dezember 2019.

    Hinweis:

    Die Erkennung und Behebung von Schwachstellen, die das NetScaler Gateway-Plug-in für Windows betreffen, wird vom NetScaler Console Sicherheitshinweis nicht unterstützt. Informationen zu nicht unterstützten CVEs finden Sie unter Nicht unterstützte CVEs im Sicherheitshinweis.

  • Der NetScaler Console Sicherheitshinweis berücksichtigt keine Art von Fehlkonfiguration von Funktionen bei der Identifizierung der Schwachstelle.

  • Der NetScaler Console Sicherheitshinweis unterstützt nur die Identifizierung und Behebung der CVEs. Er unterstützt nicht die Identifizierung und Behebung der Sicherheitsbedenken, die im Sicherheitsartikel hervorgehoben werden.

  • Umfang der NetScaler-, Gateway-Releases: Die Funktion ist auf Haupt-Builds beschränkt. Der Sicherheitshinweis umfasst keine speziellen Builds.

    • Der Sicherheitshinweis wird in der Admin-Partition nicht unterstützt.
  • Die folgenden Scan-Typen sind für CVEs verfügbar:

    • Versionsscan: Dieser Scan erfordert, dass NetScaler Console die Version einer NetScaler-Instanz mit den Versionen und Builds vergleicht, für die der Fix verfügbar ist. Dieser Versionsvergleich hilft dem NetScaler Console Sicherheitshinweis zu identifizieren, ob der NetScaler für den CVE anfällig ist. Wenn beispielsweise ein CVE in einer NetScaler-Release und einem Build xx.yy behoben ist, betrachtet der Sicherheitshinweis alle NetScaler-Instanzen auf Builds, die kleiner als xx.yy sind, als anfällig. Der Versionsscan wird heute im Sicherheitshinweis unterstützt.

    • Konfigurationsscan: Dieser Scan erfordert, dass NetScaler Console ein für den CVE-Scan spezifisches Muster mit der NetScaler-Konfigurationsdatei (nsconf) abgleicht. Wenn das spezifische Konfigurationsmuster in der NetScaler ns.conf-Datei vorhanden ist, wird die Instanz für diesen CVE als anfällig betrachtet. Dieser Scan wird typischerweise zusammen mit dem Versionsscan verwendet. Der Konfigurationsscan wird heute im Sicherheitshinweis unterstützt.

    • Benutzerdefinierter Scan: Dieser Scan erfordert, dass NetScaler Console eine Verbindung zur verwalteten NetScaler-Instanz herstellt, ein Skript darauf überträgt und das Skript ausführt. Die Skriptausgabe hilft NetScaler Console zu identifizieren, ob der NetScaler für den CVE anfällig ist. Beispiele hierfür sind die Ausgabe spezifischer Shell-Befehle, die Ausgabe spezifischer CLI-Befehle, bestimmte Protokolle sowie das Vorhandensein oder der Inhalt bestimmter Verzeichnisse oder Dateien. Für CVEs, die benutzerdefinierte Scans erfordern, wird das Skript jedes Mal ausgeführt, wenn Ihr geplanter oder On-Demand-Scan läuft. Erfahren Sie mehr über die gesammelten Daten und Optionen für spezifische benutzerdefinierte Scans in der Dokumentation zum Sicherheitshinweis für diesen CVE.

  • Scans beeinträchtigen den Produktionsverkehr auf NetScaler nicht und ändern keine NetScaler-Konfiguration auf NetScaler.

  • Der NetScaler Console Sicherheitshinweis unterstützt keine CVE-Minderung. Wenn Sie eine Minderung (temporäre Problemumgehung) auf die NetScaler-Instanz angewendet haben, identifiziert die NetScaler Console den NetScaler weiterhin als anfälligen NetScaler, bis Sie die Behebung abgeschlossen haben.

  • Für FIPS-Instanzen wird der CVE-Scan nicht unterstützt.

CVE-Erkennung