Asesoramiento de seguridad
Una infraestructura segura, segura y resistente es la línea vital de cualquier organización. Las organizaciones deben realizar un seguimiento de las nuevas vulnerabilidades y exposiciones comunes (CVE) y evaluar el impacto de las CVE en su infraestructura. También deben comprender y planificar la remediación para resolver las vulnerabilidades. La función de asesoramiento de seguridad de NetScaler Console le permite identificar las CVE que ponen en riesgo sus instancias de NetScaler y recomienda soluciones.
A partir de la versión 14.1 8.x, puedes usar la versión completa de la asesoría de seguridad configurando Cloud Connect y habilitando la asesoría de seguridad.
Si no ha configurado Cloud Connect, puede ver solo la versión preliminar de Security Advisory. Puede hacer clic en Habilitar Cloud Connect y completar la configuración para usar la versión completa del aviso de seguridad. Para obtener más información, consulte Cloud Connect.
Después de configurar Cloud Connect y habilitar el asesoramiento de seguridad, puede ver la página del asesoramiento de seguridad actualizada.
Como administrador, debe asegurarse de realizar un seguimiento de las nuevas vulnerabilidades y exposiciones comunes (CVE), evaluar el impacto de las CVE, comprender las soluciones y resolver las vulnerabilidades.
Funciones de asesoramiento de seguridad
Las siguientes funciones de asesoramiento de seguridad le ayudan a proteger su infraestructura:
Funciones | Descripción |
---|---|
Análisis del sistema | Analiza todas las instancias administradas de forma predeterminada una vez a la semana. NetScaler Console decide la fecha y la hora de los análisis del sistema y no puede cambiarlos. |
Escaneo bajo demanda | Puede analizar manualmente las instancias cuando sea necesario. Si el tiempo transcurrido desde el último análisis del sistema es significativo, puede ejecutar un análisis bajo demanda para evaluar la situación de seguridad actual. O escanee después de aplicar una corrección para evaluar la postura revisada. |
Análisis de impacto de CVE | Muestra los resultados de todas las CVE que afectan a su infraestructura y de todas las instancias de NetScaler que se ven afectadas, y sugiere soluciones. Utilice esta información para aplicar medidas correctivas a fin de corregir los riesgos de seguridad. |
Registro de análisis | Almacena las copias de los últimos cinco escaneos. Puede descargar estos informes en formato CSV y PDF y analizarlos. |
Repositorio CVE | Ofrece una vista detallada de todos los CVE relacionados con NetScaler que Citrix ha anunciado desde diciembre de 2019 y que podrían afectar a su infraestructura de NetScaler. Puede utilizar esta vista para comprender los CVE en el ámbito del asesoramiento de seguridad y para obtener más información sobre los CVE. Para obtener información sobre los CVE no compatibles, consulte los CVE no compatibles en el Aviso de seguridad. |
Puntos que tener en cuenta
-
Security Advisory no admite compilaciones de NetScaler que hayan llegado al final de su vida útil (EOL). Le recomendamos que actualice a las compilaciones o versiones compatibles con NetScaler.
-
Instancias compatibles con la detección de CVE: Todas las instancias de NetScaler (SDX, MPX, VPX) y Gateway.
-
CVE compatibles: todos los CVE posteriores a diciembre de 2019.
Nota:
El aviso de seguridad de NetScaler Console no admite la detección y reparación de las vulnerabilidades que afectan al complemento NetScaler Gateway para Windows. Para obtener información sobre los CVE no compatibles, consulte los CVE no compatibles en el Aviso de seguridad.
-
El aviso de seguridad de NetScaler Console no tiene en cuenta ningún tipo de error de configuración de las funciones al identificar la vulnerabilidad.
-
El aviso de seguridad de NetScaler Console solo admite la identificación y la corrección de los CVE. No permite la identificación y la solución de los problemas de seguridad que se destacan en el artículo sobre seguridad.
-
Alcance de las versiones de NetScaler y Gateway: La función se limita a las compilaciones principales. El aviso de seguridad no incluye ninguna versión especial en su alcance.
- La partición de administración no admite el asesoramiento de seguridad.
-
Los siguientes tipos de escaneo están disponibles para los CVE:
-
Análisisde versiones : este análisis necesita que NetScaler Console compare la versión de una instancia de NetScaler con las versiones y compilaciones en las que está disponible la solución. Esta comparación de versiones ayuda al asesoramiento de seguridad de NetScaler Console a identificar si el NetScaler es vulnerable al CVE. Por ejemplo, si un CVE está fijo en una versión y compilación xx.yy de NetScaler, el aviso de seguridad considera vulnerables todas las instancias de NetScaler en compilaciones inferiores a xx.yy. El análisis de versiones se admite actualmente en el asesoramiento de seguridad.
-
Análisisde configuración : este análisis necesita que NetScaler Console haga coincidir un patrón específico del análisis de CVE con el archivo de configuración de NetScaler (nsconf). Si el patrón de configuración específico está presente en el archivo ns.conf de NetScaler, la instancia se considera vulnerable para ese CVE. Este análisis se utiliza normalmente con el análisis de versiones. El análisis de configuración se admite actualmente en el asesoramiento de seguridad.
-
Análisispersonalizado : este análisis necesita que NetScaler Console se conecte con la instancia de NetScaler gestionada, inserte un script en ella y ejecute el script. La salida del script ayuda a NetScaler Console a identificar si el NetScaler es vulnerable al CVE. Los ejemplos incluyen el resultado específico de un comando shell, el resultado específico de un comando de CLI, ciertos registros y la existencia o el contenido de ciertos directorios o archivos. El aviso de seguridad también usa escaneos personalizados para encontrar coincidencias de varios patrones de configuración, si el escaneo de configuración no puede ayudar con lo mismo. En el caso de los CVE que requieren escaneos personalizados, el script se ejecuta cada vez que se ejecuta el análisis programado o bajo demanda. Obtenga más información sobre los datos recopilados y las opciones para escaneos personalizados específicos en la documentación de asesoramiento de seguridad de ese CVE.
-
-
Los escaneos no afectan al tráfico de producción en NetScaler y no alteran ninguna configuración de NetScaler en NetScaler.
-
El aviso de seguridad de NetScaler Console no admite la mitigación de CVE. Si ha aplicado la mitigación (solución temporal) a la instancia de NetScaler, la consola de NetScaler seguirá identificando el NetScaler como un NetScaler vulnerable hasta que haya completado la corrección.
-
Para las instancias FIPS, no se admite el escaneo CVE.
Cómo utilizar el panel de asesoría de seguridad
Para acceder al panel de asesoramiento de seguridad , desde la GUI de NetScaler Console, vaya a Infraestructura > Asesoramiento de instancias > Asesoramiento de seguridad.
El tablero incluye tres fichas:
-
CVE actuales
-
Registro de análisis
-
Repositorio CVE
Importante:
En la GUI o en el informe del asesor de seguridad, es posible que no aparezcan todas las CVE y es posible que solo vea un CVE. Como solución alternativa, haga clic en Analizar ahora para ejecutar un análisis bajo demanda. Una vez finalizado el análisis, todas las CVE del ámbito (aproximadamente 15) aparecen en la interfaz de usuario o informe.
En la esquina superior derecha del panel de control se encuentra el icono de configuración, que le permite:
-
Activa y desactiva las notificaciones.
Puede recibir las siguientes notificaciones sobre el impacto de las CVE.
-
Notificaciones por correo electrónico, Slack, PagerDuty y ServiceNow sobre los cambios en los resultados del escaneo de CVE y los nuevos CVE que se agreguen al repositorio de CVE.
-
Notificación en la nube para los cambios en los resultados del escaneo de impacto de CVE.
-
-
Configurar los ajustes de escaneo personalizados
Puede hacer clic en la lista Configuración de digitalización personalizada para ver la casilla de verificación de la configuración adicional. Tiene la opción de seleccionar la casilla de verificación y excluirse de estos escaneos personalizados de CVE. El impacto de las CVE que necesitan un análisis personalizado no se evaluará para sus instancias de NetScaler en el aviso de seguridad.
CVE actuales
Esta ficha muestra el número de CVE que afectan a sus instancias y también las instancias que se ven afectadas por los CVE. Las fichas no son secuenciales, y como administrador, puede cambiar entre estas fichas dependiendo de su caso de uso.
La tabla que muestra la cantidad de CVEs que afectan a las instancias de NetScaler contiene los siguientes detalles.
ID de CVE: el ID del CVE que afecta a las instancias.
Fecha de publicación: la fecha en que se publicó el boletín de seguridad de ese CVE.
Puntuación de gravedad: el tipo de gravedad (alta/media/crítica) y la puntuación. Para ver la puntuación, pase el cursor sobre el tipo de gravedad.
Tipo de vulnerabilidad: el tipo de vulnerabilidad de este CVE.
Instancias de NetScaler afectadas: El recuento de instancias al que afecta el ID de CVE. Al pasar el ratón por encima, aparece la lista de instancias de NetScaler.
Corrección: las soluciones disponibles, que consisten en actualizar la instancia (normalmente) o aplicar paquetes de configuración.
La misma instancia puede verse afectada por múltiples CVE. Esta tabla le ayuda a ver cuántas instancias están afectando a un CVE determinado o a varios CVE seleccionados. Para comprobar la dirección IP de la instancia afectada, coloque el cursor sobre los detalles de NetScaler en la sección Instancias de NetScaler afectadas. Para comprobar los detalles de la instancia afectada, haga clic en Ver instancias afectadas en la parte inferior de la tabla. También puede agregar o quitar columnas de la tabla haciendo clic en el signo más.
En esta pantalla, el número de CVE que afectan a sus instancias es de 3 CVE y las instancias que se ven afectadas por estos CVE son una.
Las <number of>
instancias de NetScaler se ven afectadas por las CVE. La pestaña muestra todas las instancias de NetScaler Console afectadas. La tabla muestra los siguientes detalles:
- Dirección IP de NetScaler
- Nombre de host
- Número de modelo de NetScaler
- Estado de NetScaler
- Versión y compilación del software
- Lista de CVEs que afectan al NetScaler.
Puede agregar o eliminar cualquiera de estas columnas según sus necesidades haciendo clic en el signo +.
Para corregir el problema de vulnerabilidad, seleccione la instancia de NetScaler y aplique la corrección recomendada. La mayoría de los CVE necesitan una actualización como solución, mientras que otros necesitan una actualización y un paso adicional como solución.
-
Para obtener información sobre la solución del CVE-2020-8300, consulte Solucionar vulnerabilidades para el CVE-2020-8300.
-
Para CVE-2021-22927 y CVE-2021-22920, consulte Solucionar vulnerabilidades de CVE-2021-22927 y CVE-2021-22920.
-
Para CVE CVE-2021-22956, consulte Identificar y corregir vulnerabilidades para CVE-2021-22956
-
Para CVE CVE-2022-27509, consulte Solucionar vulnerabilidades para CVE-2022-27509
Nota
Si las instancias de NetScaler tienen personalizaciones, consulte Consideraciones de actualización para obtener configuraciones de NetScaler personalizadas antes de planificar la actualización de NetScaler.
Actualización: Puede actualizar las instancias vulnerables de NetScaler a una versión y compilación que tenga la solución. Este detalle se puede ver en la columna de corrección. Para actualizar, seleccione la instancia y, a continuación, haga clic en Continuar para actualizar el flujo de trabajo. En el flujo de trabajo de actualización, el NetScaler vulnerable se rellena automáticamente como el NetScaler de destino.
Nota
Las versiones 12.0, 11,0, 10.5 e inferiores ya están al final de la vida (EOL). Si sus instancias de NetScaler se ejecutan en alguna de estas versiones, actualice a una versión compatible.
Se inicia el flujo de trabajo de actualización. Para obtener más información sobre cómo usar NetScaler Console para actualizar las instancias de NetScaler, consulte Usar trabajos para actualizar las instancias de NetScaler.
Nota
La versión y compilación a la que quiere actualizar está a su discreción. Consulta los consejos de la columna de corrección para saber qué versión y qué compilaciones tienen la corrección de seguridad. Y, en consecuencia, seleccione una versión y una compilación compatibles que aún no hayan llegado al final de su vida útil.
Registro de análisis
La ficha muestra los informes de los últimos cinco escaneos de CVE, que incluyen escaneos del sistema predeterminados y escaneos iniciados por el usuario bajo demanda. Puede descargar el informe de cada escaneo en formato CSV y PDF. Si hay un análisis bajo demanda en curso, también puede ver el estado de finalización.
Repositorio CVE
Esta ficha incluye la información más reciente de todos los CVE de diciembre de 2019, junto con los siguientes detalles:
- Identificadores CVE
- Tipo de vulnerabilidad
- Fecha de publicación
- Nivel de gravedad
- Remediación
-
Enlaces a boletines de seguridad
Escanear ahora
Puede escanear las instancias en cualquier momento, según sus necesidades.
Haga clic en Escanear ahora para buscar los CVE que afecten a sus instancias de NetScaler. Una vez finalizado el análisis, los detalles de seguridad revisados aparecen en la GUI de asesoramiento de seguridad.
La consola NetScaler tarda unos minutos en completar el análisis.
Notificación
Como administrador, recibe notificaciones de Citrix Cloud, que indican cuántas instancias de NetScaler son vulnerables a los CVE. Para ver las notificaciones, haga clic en el icono de campana situado en la esquina superior derecha de la GUI de NetScaler Console.
Aviso de seguridad en versiones 14.1 4.x o anteriores
Si está en las versiones anteriores, solo puede usar la versión preliminar de la función de asesoramiento de seguridad. La versión preliminar solo destaca los CVE de NetScaler y las instancias de NetScaler incorporadas al servicio NetScaler Console que están en riesgo. Si quiere usar la versión completa de la función de asesoría de seguridad, debe habilitar Cloud Connect.
IMPORTANTE
Para obtener un análisis detallado del impacto del CVE, obtener información concluyente sobre los análisis personalizados y los escaneos del sistema y los flujos de trabajo de corrección y mitigación, pruebe NetScaler Console Service.
Ver asesoramiento de seguridad
Para acceder al asesoramiento de seguridad, vaya a Infraestructura > Asesoramiento de instancias > Asesoramiento de seguridad. Puede ver el estado de vulnerabilidad de todas las instancias de NetScaler que administra a través de NetScaler Console.
El aviso de seguridad local de NetScaler Console solo escanea las versiones de NetScaler para comprobar si hay CVE y se muestra la siguiente información.
-
ID de CVE: el ID del CVE que afecta a las instancias.
-
Tipo de vulnerabilidad: el tipo de vulnerabilidad de este CVE.
-
Instancias de NetScaler afectadas: El recuento de instancias al que afecta el ID de CVE.
El asesoramiento de seguridad local de NetScaler Console también le permite seleccionar una de las instancias de NetScaler e incorporar la instancia de NetScaler al servicio de NetScaler Console. Haga clic en Probar el servicio de NetScaler Console e incorpore la instancia de NetScaler al servicio de NetScaler Console. El asesoramiento de seguridad del servicio NetScaler Console le permite comprobar el tipo de vulnerabilidad de un CVE en particular y obtener información sobre la mitigación y la corrección para resolver la vulnerabilidad.
Para obtener más información sobre el aviso de seguridad del servicio NetScaler Console, consulte la animación GIF en la página del aviso de seguridad.