Corrija las vulnerabilidades del CVE-2020-8300
En el panel de asesoramiento de seguridad de NetScaler Console, en CVE actuales > <number of>Las instancias de NetScaler se ven afectadas por las CVE, puede ver todas las instancias vulnerables debido a este CVE específico. Para comprobar los detalles de las instancias afectadas por el CVE-2020-8300, seleccione CVE-2020-8300 y haga clic en Ver instancias afectadas.
Nota
Para obtener más información sobre el panel de asesoramiento de seguridad, consulte Asesoramiento de seguridad .
Aparece la ventana <number of>Instancias de NetScaler afectadas por CVE . Aquí puede ver el recuento y los detalles de las instancias de NetScaler afectadas por el CVE-2020-8300.
Corrija el CVE-2020-8300
En el caso de las instancias de NetScaler afectadas por el CVE-2020-8300, la corrección es un proceso de dos pasos. En la GUI, en CVE actuales > Las instancias de NetScaler se ven afectadas por las CVE, puede ver los pasos 1 y 2.
Los dos pasos incluyen:
- Actualización de las instancias vulnerables de NetScaler a una versión y compilación que tengan la solución.
- Aplicar los comandos de configuración necesarios mediante la plantilla de configuración integrada personalizable en los trabajos de configuración. Siga este paso para cada NetScaler vulnerable de uno en uno e incluya todas las acciones SAML y los perfiles SAML de ese NetScaler.
En CVE actuales> Instancias de NetScaler afectadas por las CVE , verá dos flujos de trabajo independientes para este proceso de corrección de dos pasos: continuar con el flujo de trabajo de actualización y continuar con el flujo de trabajo de configuración.
Paso 1: Actualizar las instancias vulnerables de NetScaler
Para actualizar las instancias vulnerables, seleccione las instancias y haga clic en Continuar para actualizar el flujo de trabajo. El flujo de trabajo de actualización se abre con las instancias vulnerables de NetScaler ya pobladas.
Para obtener más información sobre cómo usar NetScaler Console para actualizar las instancias de NetScaler, consulte Crear un trabajo de actualización de NetScaler.
Nota
Este paso se puede realizar de una vez para todas las instancias de NetScaler vulnerables.
Paso 2: Aplicar los comandos de configuración
Después de actualizar las instancias afectadas, en la ventana <number of> Instancias de NetScaler afectadas por CVE, seleccione una instancia afectada por CVE-2020-8300 y haga clic en Continuar con el flujo de trabajo del trabajo de configuración. El flujo de trabajo incluye los siguientes pasos.
- Personalización de la configuración.
- Revisar las instancias afectadas que se rellenan automáticamente.
- Especificar entradas para las variables del trabajo.
- Revisar la configuración final con las entradas variables rellenadas.
- Ejecutar el trabajo.
Tenga en cuenta los siguientes puntos antes de seleccionar una instancia y hacer clic en Continuar con el flujo de trabajo de configuración:
-
En el caso de una instancia de NetScaler afectada por varios CVE (como CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 y CVE-2021-22956): al seleccionar la instancia y hacer clic en Proceder al flujo de trabajo de configuración, la plantilla de configuración integrada no se rellena automáticamente en Seleccionar configuración. Arrastre y suelte la plantilla de trabajo de configuración correspondiente en la sección Plantilla de asesoramiento de seguridad manualmente en el panel de tareas de configuración del lado derecho.
-
Solo para varias instancias de NetScaler afectadas por el CVE-2021-22956: puede ejecutar trabajos de configuración en todas las instancias a la vez. Por ejemplo, tiene NetScaler 1, NetScaler 2 y NetScaler 3, y todos ellos solo se ven afectados por el CVE-2021-22956. Seleccione todas estas instancias y haga clic en Continuar con el flujo de trabajo de configuración, y la plantilla de configuración integrada se rellenará automáticamente en Seleccionar configuración. Consulte el problema conocido NSADM-80913 en las notas de la versión.
-
En el caso de varias instancias de NetScaler afectadas por el CVE-2021-22956 y uno o varios otros CVE (como CVE-2020-8300, CVE-2021-22927 y CVE-2021-22920), que requieren la aplicación de correcciones a cada NetScaler a la vez: al seleccionar estas instancias y hacer clic en Continuar con el flujo de trabajo del trabajo de configuración, aparece un mensaje de error que le indica que debe ejecutar el trabajo de configuración en cada NetScaler a la vez NetScaler a la vez.
Paso 1: Seleccione la configuración
En el flujo de trabajo de configuración, la plantilla de configuración integrada se rellena automáticamente en Seleccionar configuración.
Ejecute un trabajo de configuración independiente para cada instancia de NetScaler afectada, una por una, e incluya todas las acciones de SAML y los perfiles de SAML de ese NetScaler. Por ejemplo, si tiene dos instancias de NetScaler vulnerables, cada una con dos acciones SAML y dos perfiles SAML, debe ejecutar este trabajo de configuración dos veces. Una vez por NetScaler que cubra todas sus acciones de SAML y perfiles de SAML.
| NetScaler 1 | NetScaler 2 |
|---|---|
| Trabajo 1: dos acciones SAML+dos perfiles SAML | Trabajo 2: dos acciones SAML+dos perfiles SAML |
Asigne un nombre al trabajo y personalice la plantilla para las siguientes especificaciones. La plantilla de configuración integrada es solo un esquema o una plantilla base. Personalice la plantilla en función de su implementación para cumplir con los siguientes requisitos:
a. Acciones de SAML y sus dominios asociados
Según la cantidad de acciones de SAML que tenga en su implementación, debe replicar las líneas 1 a 3 y personalizar los dominios para cada acción de SAML.
Por ejemplo, si tiene dos acciones de SAML, repita las líneas 1 a 3 dos veces y, en consecuencia, personalice las definiciones de variables para cada acción de SAML.
Y si tiene N dominios para una acción de SAML, debe escribir la línea bind patset $saml_action_patset$ “$saml_action_domain1$” manualmente varias veces para asegurarse de que la línea aparezca N veces para esa acción de SAML. Y cambie los siguientes nombres de definición de variables:
-
saml_action_patset: es la variable de plantilla de configuración y representa el valor del nombre del conjunto de patrones (patset) de la acción SAML. Puede especificar el valor real en el paso 3 del flujo de trabajo de configuración. Consulte la sección Paso 3: Especificar los valores de las variables en este documento. -
saml_action_domain1: es la variable de plantilla de configuración y representa el nombre de dominio de esa acción SAML específica. Puede especificar el valor real en el paso 3 del flujo de trabajo de configuración. Consulte la sección Paso 3: Especificar los valores de las variables en este documento.
Para buscar todas las acciones de SAML de un dispositivo, ejecute el comando show samlaction.
b. Perfiles SAML y sus URL asociadas
Según la cantidad de perfiles SAML que tenga en su implementación, replique las líneas de 4 a 6. Personalice las URL de cada perfil de SAML.
Por ejemplo, si tiene dos perfiles SAML, introduzca manualmente las líneas 4 a 6 dos veces y, en consecuencia, personalice las definiciones de variables para cada acción de SAML.
Y si tiene N dominios para una acción de SAML, debe escribir la línea bind patset $saml_profile_patset$ “$saml_profile_url1$” manualmente varias veces para asegurarse de que la línea aparezca N veces para ese perfil de SAML. Y cambie los siguientes nombres de definición de variables:
-
saml_profile_patset: es la variable de plantilla de configuración y representa el valor del nombre del conjunto de patrones (patset) del perfil SAML. Puede especificar el valor real en el paso 3 del flujo de trabajo de configuración. Consulte la sección Paso 3: Especificar los valores de las variables en este documento. -
saml_profile_url1: es la variable de plantilla de configuración y representa el nombre de dominio de ese perfil SAML específico. Puede especificar el valor real en el paso 3 del flujo de trabajo de configuración. Consulte la sección Paso 3: Especificar los valores de las variables en este documento.
Para buscar todos los perfiles SAM de un dispositivo, ejecute el comando show samlidpProfile.
Paso 2: selecciona la instancia
La instancia afectada se rellena automáticamente en Seleccionar instancias. Seleccione la instancia y haga clic en Siguiente.
Paso 3: especificar los valores de las variables
Introduzca los valores de las variables.
-
saml_action_patset: agregar un nombre para la acción SAML -
saml_action_domain1: introduzca un dominio con el formatohttps://<example1.com>/ -
saml_action_name: introduzca lo mismo de la acción SAML para la que está configurando el trabajo -
saml_profile_patset: agregue un nombre para el perfil SAML -
saml_profile_url1: introduzca la URL en este formatohttps://<example2.com>/cgi/samlauth -
saml_profile_name: introduzca el mismo perfil SAML para el que está configurando el trabajo
Nota
En el caso de las URL, la extensión no siempre es así
cgi/samlauth. Depende de la autorización de terceros que tenga y, en consecuencia, debe colocar la extensión.
Paso 4: Vista previa de la configuración
Previsualiza los valores de las variables que se han insertado en la configuración y haga clic en Siguiente.
Paso 5: Ejecute el trabajo
Haga clic en Finalizar para ejecutar el trabajo de configuración.
Una vez ejecutado el trabajo, aparece en Infraestructura > Configuración > Trabajos de configuración.
Tras completar los dos pasos de corrección para todas las instancias vulnerables de NetScaler, puede ejecutar un análisis bajo demanda para ver la postura de seguridad revisada.
Puntos a tener en cuenta para la cuenta NetScaler Console Express
La cuenta NetScaler Console Express tiene funciones limitadas, que incluyen la limitación de solo dos trabajos de configuración. Para obtener más información sobre la cuenta NetScaler Console Express, consulte Administrar los recursos de NetScaler Console mediante la cuenta Express. Para solucionar el problema del CVE-2020-8300, debe ejecutar tantos trabajos de configuración como el número de instancias de NetScaler vulnerables. Por lo tanto, si tiene una cuenta Express y necesita ejecutar más de dos trabajos de configuración, siga esta solución alternativa.
Soluciónalternativa : ejecute dos trabajos de configuración para dos instancias de NetScaler vulnerables y, a continuación, elimine ambos trabajos para seguir ejecutando los dos trabajos siguientes para las dos instancias de NetScaler vulnerables siguientes. Continúe con esto hasta que haya cubierto todos los casos vulnerables. Antes de eliminar los trabajos, puede descargar el informe para consultarlo en el futuro. Para descargar el informe, en Red > Trabajos, seleccione los trabajos y haga clic en Descargar en Acciones.
Ejemplo: Si tiene seis instancias de NetScaler vulnerables, ejecute dos trabajos de configuración en dos instancias vulnerables respectivamente y, a continuación, elimine ambos trabajos de configuración. Repite este paso otras dos veces. Al final, habría ejecutado seis trabajos de configuración para seis instancias de NetScaler, respectivamente. En la interfaz de usuario de NetScaler Console, en Infraestructura Trabajos, solo verá los dos últimos trabajos de configuración.
Escenario
En este escenario, tres instancias de NetScaler son vulnerables al CVE-2020-8300 y es necesario corregir todas las instancias. Siga estos pasos:
-
Actualice las tres instancias de NetScaler siguiendo los pasos que se indican en la sección Actualizar una instancia de este documento.
-
Aplique el parche de configuración a un NetScaler a la vez, mediante el flujo de trabajo de configuración. Consulte los pasos que se indican en la sección Aplicar comandos de configuración de este documento.
El NetScaler 1 vulnerable tiene la siguiente configuración:
| Dos acciones SAML | Dos perfiles SAML |
|---|---|
| La acción 1 de SAML tiene un dominio y la acción 2 de SAML tiene dos dominios | El perfil SAML 1 tiene una URL y el perfil SAML 2 tiene dos URL |
Seleccione NetScaler 1 y haga clic en Continuar con el flujo de trabajo del trabajo de configuración. La plantilla integrada se rellena automáticamente. A continuación, asigne un nombre a la tarea y personalice la plantilla de acuerdo con la configuración dada.
En las tablas siguientes se enumeran las definiciones de variables para los parámetros personalizados.
Tabla 1. Definiciones de variables para la acción SAML
| Configuración de NetScaler | Definición de variable para patset | Definición de variable para el nombre de la acción SAML | Definición de variable para dominio |
|---|---|---|---|
| La acción 1 de SAML tiene un dominio | saml_action_patset1 | saml_action_name1 | saml_action_domain1 |
| La acción 2 de SAML tiene dos dominios | saml_action_patset2 | saml_action_name2 | saml_action_domain2, saml_action_domain3 |
Tabla 2. Definiciones de variables para el perfil SAML
| Configuración de NetScaler | Definición de variable para patset | Definición de variable para el nombre de perfil SAML | Definición de variable para URL |
|---|---|---|---|
| El perfil SAML 1 tiene una URL | saml_profile_patset1 | saml_profile_name1 | saml_profile_url1 |
| El perfil SAML 2 tiene dos URL | saml_profile_patset2 | saml_profile_name2 | saml_profile_url2, saml_profile_url3 |
En Seleccionar instancias , seleccione NetScaler 1 y haga clic en Siguiente. Aparece la ventana Especificar valores variables. En este paso, debe proporcionar valores para todas las variables definidas en el paso anterior.
A continuación, revise las variables.
Haga clic en Siguiente y, después, en Finalizar para ejecutar el trabajo.
Una vez ejecutado el trabajo, aparece en Infraestructura > Configuración > Trabajos de configuración.
Tras completar los dos pasos de corrección para NetScaler 1, siga los mismos pasos para corregir NetScaler 2 y NetScaler 3. Una vez finalizada la corrección, puede ejecutar un análisis bajo demanda para ver la postura de seguridad revisada.