Asesoramiento de seguridad
Una infraestructura segura, segura y resistente es la línea vital de cualquier organización. Aspectos destacados del asesoramiento de seguridad de NetScaler Console:
-
Detección y corrección de vulnerabilidades y exposiciones (CVE) comunes: Le permite identificar las CVE que ponen en riesgo sus instancias de NetScaler y recomienda soluciones.
-
Supervisión de la integridad de los archivos: Le permite identificar si se han realizado cambios o adiciones en los archivos de compilación de NetScaler.
Como administrador, debe asegurarse de:
-
Realice un seguimiento de las nuevas vulnerabilidades y exposiciones comunes (CVE), evalúe el impacto de las CVE, comprenda la solución y resuelva las vulnerabilidades.
-
Examine la integridad de los archivos de compilación de NetScaler.
Funciones de asesoramiento de seguridad
Las siguientes funciones de asesoramiento de seguridad le ayudan a proteger su infraestructura.
CVE:
| Funciones | Descripción |
|---|---|
| Análisis del sistema | Analiza todas las instancias administradas de forma predeterminada una vez a la semana. NetScaler Console decide la fecha y la hora de los análisis del sistema y no puede cambiarlos. |
| Escaneo bajo demanda | Puede analizar manualmente las instancias cuando sea necesario. Si el tiempo transcurrido desde el último análisis del sistema es significativo, puede ejecutar un análisis bajo demanda para evaluar la situación de seguridad actual. O escanee después de aplicar una corrección para evaluar la postura revisada. |
| Análisis de impacto de CVE | Muestra los resultados de todas las CVE que afectan a su infraestructura y de todas las instancias de NetScaler que se ven afectadas, y sugiere soluciones. Utilice esta información para aplicar medidas correctivas a fin de corregir los riesgos de seguridad. |
| Informes CVE | Almacena copias de los últimos cinco escaneos. Puede descargar estos informes en formato CSV y analizarlos. |
| Repositorio CVE | Ofrece una vista detallada de todos los CVE relacionados con NetScaler que Citrix ha anunciado desde diciembre de 2019 y que podrían afectar a su infraestructura de NetScaler. Puede utilizar esta vista para comprender los CVE en el ámbito del asesoramiento de seguridad y para obtener más información sobre los CVE. Para obtener información sobre los CVE no compatibles, consulte los CVE no compatibles en el Aviso de seguridad. |
Supervisión de la integridad de los archivos:
| Funciones | Descripción |
|---|---|
| Escaneo bajo demanda | Debe ejecutar un análisis bajo demanda para obtener resultados sobre cualquier cambio de archivo detectado en los archivos de compilación de NetScaler. |
| Análisis de supervisión de integridad de archivos | Compara el valor de hash binario de los archivos de compilación actuales de NetScaler con el hash binario original y resalta si hay modificaciones o adiciones de archivos. Puede ver los resultados del análisis en la ficha Control de integridad de archivos. |
Puntos que tener en cuenta
-
Security Advisory no admite compilaciones de NetScaler que hayan llegado al final de su vida útil (EOL). Le recomendamos que actualice a las compilaciones o versiones compatibles con NetScaler.
-
Instancias compatibles con la detección de CVE: Todas las instancias de NetScaler (SDX, MPX, VPX) y Gateway.
-
Instancias compatibles con la supervisión de la integridad de los archivos: Instancias de MPX, VPX y Gateway.
-
CVE compatibles: todos los CVE posteriores a diciembre de 2019.
Nota:
El aviso de seguridad de NetScaler Console no admite la detección y reparación de las vulnerabilidades que afectan al complemento NetScaler Gateway para Windows. Para obtener información sobre los CVE no compatibles, consulte los CVE no compatibles en el Aviso de seguridad.
-
El aviso de seguridad de NetScaler Console no tiene en cuenta ningún tipo de error de configuración de las funciones al identificar la vulnerabilidad.
-
El aviso de seguridad de NetScaler Console solo admite la identificación y la corrección de los CVE. No permite la identificación y la solución de los problemas de seguridad que se destacan en el artículo sobre seguridad.
-
Alcance de las versiones de NetScaler y Gateway: La función se limita a las compilaciones principales. El aviso de seguridad no incluye ninguna versión especial en su alcance.
- La partición de administración no admite el asesoramiento de seguridad.
-
Los siguientes tipos de escaneo están disponibles para los CVE:
-
Análisisde versiones : este análisis necesita que NetScaler Console compare la versión de una instancia de NetScaler con las versiones y compilaciones en las que está disponible la solución. Esta comparación de versiones ayuda al asesoramiento de seguridad de NetScaler Console a identificar si el NetScaler es vulnerable al CVE. Por ejemplo, si un CVE está fijo en una versión y compilación xx.yy de NetScaler, el aviso de seguridad considera vulnerables todas las instancias de NetScaler en compilaciones inferiores a xx.yy. El análisis de versiones se admite actualmente en el asesoramiento de seguridad.
-
Análisisde configuración : este análisis necesita que NetScaler Console haga coincidir un patrón específico del análisis de CVE con el archivo de configuración de NetScaler (nsconf). Si el patrón de configuración específico está presente en el archivo ns.conf de NetScaler, la instancia se considera vulnerable para ese CVE. Este análisis se utiliza normalmente con el análisis de versiones. El análisis de configuración se admite actualmente en el asesoramiento de seguridad.
-
Análisispersonalizado : este análisis necesita que NetScaler Console se conecte con la instancia de NetScaler gestionada, inserte un script en ella y ejecute el script. La salida del script ayuda a NetScaler Console a identificar si el NetScaler es vulnerable al CVE. Los ejemplos incluyen el resultado específico de un comando shell, el resultado específico de un comando de CLI, ciertos registros y la existencia o el contenido de ciertos directorios o archivos. El aviso de seguridad también usa escaneos personalizados para encontrar coincidencias de varios patrones de configuración, si el escaneo de configuración no puede ayudar con lo mismo. En el caso de los CVE que requieren escaneos personalizados, el script se ejecuta cada vez que se ejecuta el análisis programado o bajo demanda. Obtenga más información sobre los datos recopilados y las opciones para escaneos personalizados específicos en la documentación de asesoramiento de seguridad de ese CVE.
-
-
El siguiente análisis está disponible para la supervisión de la integridad de los archivos:
-
Análisis de supervisión dela integridad de los archivos : este análisis necesita que la consola de NetScaler se conecte con la instancia de NetScaler gestionada. NetScaler Console compara los valores hash ejecutando un script en NetScaler y recopilando los valores hash binarios actuales para los archivos de compilación de NetScaler. Tras la comparación, NetScaler Console proporciona el resultado con el número total de archivos existentes modificados y el número total de archivos recién agregados. Como administrador, puede ponerse en contacto con el departamento forense digital de su organización para investigar más a fondo los resultados del escaneo.
Se escanean los siguientes archivos:
-
/netscaler -
/bin, /sbin, /usr/bin, /usr/sbin, /usr/local/bin, /usr/local/sbin -
/lib, /libexec, /usr/lib, /usr/libexec, /usr/local/lib, /usr/lib32, /compat -
/etc -
El resto de
/usr -
/root, /home, /mnt
-
-
-
Los escaneos no afectan al tráfico de producción en NetScaler y no alteran ninguna configuración de NetScaler en NetScaler.
-
El aviso de seguridad de NetScaler Console no admite la mitigación de CVE. Si ha aplicado la mitigación (solución temporal) a la instancia de NetScaler, la consola de NetScaler seguirá identificando el NetScaler como un NetScaler vulnerable hasta que haya completado la corrección.
-
Para las instancias de FIPS, no se admite el escaneo CVE, pero sí el escaneo de supervisión de integridad de archivos.
-
Algunos cambios en los archivos pueden producirse como parte del funcionamiento normal del dispositivo, mientras que otros pueden requerir una investigación más profunda. Al revisar los cambios en los archivos, lo siguiente puede resultar útil:
-
Es posible que se produzcan cambios en el directorio
/netscaler(en los archivos.html y .js) debido al uso de scripts o complementos. -
El directorio
/etcincluye archivos de configuración que pueden modificarse por una intervención inesperada después de arrancar el sistema. -
Sería inusual que hubiera:
-
Informes en los directorios
/bin,/sbino/lib -
Nuevos archivos.php en el directorio
/netscaler
-
-
Cómo utilizar el panel de asesoría de seguridad
Para acceder al panel de asesoramiento de seguridad , desde la GUI de NetScaler Console, vaya a Infraestructura > Asesoramiento de instancias > Asesoramiento de seguridad.
El panel de mandos incluye cuatro fichas:
- CVE actuales
- Supervisión de la integridad de los archivos
- Registro de análisis
-
Repositorio CVE
Importante:
En la GUI o en el informe del asesor de seguridad, es posible que no aparezcan todas las CVE y es posible que solo vea un CVE. Como solución alternativa, haga clic en Analizar ahora > Analizar CVE para ejecutar un análisis bajo demanda. Una vez finalizado el análisis, todas las CVE del ámbito (aproximadamente 15) aparecen en la interfaz de usuario o informe.
En la esquina superior derecha del panel de control se encuentra el icono de configuración, que le permite:
-
Habilite e inhabilite las notificaciones (aplicable solo para la detección de CVE).
Puede recibir las siguientes notificaciones sobre el impacto de las CVE.
-
Notificaciones por correo electrónico, Slack, PagerDuty y ServiceNow sobre los cambios en los resultados del escaneo de CVE y los nuevos CVE que se agreguen al repositorio de CVE.
-
Notificación en la nube para los cambios en los resultados del escaneo de impacto de CVE.
-
-
Configurar los ajustes de escaneo personalizados (aplicable solo a los CVE)
Puede hacer clic en la lista Configuración de digitalización personalizada para ver la casilla de verificación de la configuración adicional. Tiene la opción de seleccionar la casilla de verificación y excluirse de estos escaneos personalizados de CVE. El impacto de las CVE que necesitan un análisis personalizado no se evaluará para sus instancias de NetScaler en el aviso de seguridad.
CVE actuales
Esta ficha muestra el número de CVE que afectan a sus instancias y también las instancias que se ven afectadas por los CVE. Las fichas no son secuenciales, y como administrador, puede cambiar entre estas fichas dependiendo de su caso de uso.
La tabla que muestra la cantidad de CVEs que afectan a las instancias de NetScaler contiene los siguientes detalles.
ID de CVE: el ID del CVE que afecta a las instancias.
Fecha de publicación: la fecha en que se publicó el boletín de seguridad de ese CVE.
Puntuación de gravedad: el tipo de gravedad (alta/media/crítica) y la puntuación. Para ver la puntuación, pase el cursor sobre el tipo de gravedad.
Tipo de vulnerabilidad: el tipo de vulnerabilidad de este CVE.
Instancias de NetScaler afectadas: El recuento de instancias al que afecta el ID de CVE. Al pasar el ratón por encima, aparece la lista de instancias de NetScaler.
Corrección: las soluciones disponibles, que consisten en actualizar la instancia (normalmente) o aplicar paquetes de configuración.
La misma instancia puede verse afectada por múltiples CVE. Esta tabla le ayuda a ver cuántas instancias están afectando a un CVE determinado o a varios CVE seleccionados. Para comprobar la dirección IP de la instancia afectada, coloque el cursor sobre los detalles de NetScaler en la sección Instancias de NetScaler afectadas. Para comprobar los detalles de la instancia afectada, haga clic en Ver instancias afectadas en la parte inferior de la tabla. También puede agregar o quitar columnas de la tabla haciendo clic en el signo más.
En esta pantalla, la cantidad de CVE que afectan a tus instancias es de 3 CVE y las instancias que se ven afectadas por estas CVE de dos.
Las <number of>instancias de NetScaler se ven afectadas por las CVE. La pestaña muestra todas las instancias de NetScaler Console afectadas. La tabla muestra los siguientes detalles:
- Dirección IP de NetScaler
- Nombre de host
- Número de modelo de NetScaler
- Estado de NetScaler
- Versión y compilación del software
- Lista de CVEs que afectan al NetScaler.
Puede agregar o eliminar cualquiera de estas columnas según sus necesidades haciendo clic en el signo +.
Para corregir el problema de vulnerabilidad, seleccione la instancia de NetScaler y aplique la corrección recomendada. La mayoría de los CVE necesitan una actualización como solución, mientras que otros necesitan una actualización y un paso adicional como solución.
-
Para obtener información sobre la solución del CVE-2020-8300, consulte Solucionar vulnerabilidades para el CVE-2020-8300.
-
Para CVE-2021-22927 y CVE-2021-22920, consulte Solucionar vulnerabilidades de CVE-2021-22927 y CVE-2021-22920.
-
Para CVE CVE-2021-22956, consulte Identificar y corregir vulnerabilidades para CVE-2021-22956
-
Para CVE CVE-2022-27509, consulte Solucionar vulnerabilidades para CVE-2022-27509
Nota
Si las instancias de NetScaler tienen personalizaciones, consulte Consideraciones de actualización para obtener configuraciones de NetScaler personalizadas antes de planificar la actualización de NetScaler.
Actualización: Puede actualizar las instancias vulnerables de NetScaler a una versión y compilación que tenga la solución. Este detalle se puede ver en la columna de corrección. Para actualizar, seleccione la instancia y, a continuación, haga clic en Continuar para actualizar el flujo de trabajo. En el flujo de trabajo de actualización, el NetScaler vulnerable se rellena automáticamente como el NetScaler de destino.
Nota
Las versiones 12.0, 11,0, 10.5 e inferiores ya están al final de la vida (EOL). Si sus instancias de NetScaler se ejecutan en alguna de estas versiones, actualice a una versión compatible.
Se inicia el flujo de trabajo de actualización. Para obtener más información sobre cómo usar NetScaler Console para actualizar las instancias de NetScaler, consulte Usar trabajos para actualizar las instancias de NetScaler.
Nota
La versión y compilación a la que quiere actualizar está a su discreción. Consulta los consejos de la columna de corrección para saber qué versión y qué compilaciones tienen la corrección de seguridad. Y, en consecuencia, seleccione una versión y una compilación compatibles que aún no hayan llegado al final de su vida útil.
Supervisión de la integridad de los archivos
En esta ficha se muestra el resultado del análisis de la supervisión de la integridad de los archivos con instancias de NetScaler que presentan modificaciones o adiciones a los archivos de compilación originales de NetScaler.
El siguiente ejemplo muestra el resultado del análisis de dos instancias de NetScaler afectadas con archivos existentes modificados y archivos nuevos agregados a los archivos de compilación originales.
Haga clic en los números de Archivos existentes modificados y Archivos nuevos agregados para ver los detalles.
Registro de escaneo (aplicable solo para los CVE)
La ficha muestra los informes de los últimos cinco escaneos de CVE, que incluyen escaneos del sistema predeterminados y escaneos iniciados por el usuario bajo demanda. Puede descargar el informe de cada escaneo en formato CSV. Si se está realizando un análisis bajo demanda, puede ver el estado de finalización aquí. Si se ha producido un error en el análisis, el estado indica eso.
Repositorio CVE
Esta ficha incluye la información más reciente de todos los CVE de diciembre de 2019, junto con los siguientes detalles:
- Identificadores CVE
- Tipo de vulnerabilidad
- Fecha de publicación
- Nivel de gravedad
- Remediación
-
Enlaces a boletines de seguridad
Escanear ahora
Puede escanear las instancias en cualquier momento, según sus necesidades.
Haga clic en Analizar ahora y seleccione Analizar CVE, Escanear archivos o Analizar ambos para obtener el informe de seguridad más reciente de sus instancias.
-
Escanear los CVE: Escanea solo los CVE que están afectando a las instancias de NetScaler. Una vez finalizado el análisis, los detalles de seguridad revisados aparecen en la GUI de asesoramiento de seguridad. También puede encontrar el informe en el registro de escaneo, que también puede descargar.
-
Escanear archivos: Busca únicamente la supervisión de la integridad de los archivos y proporciona el resultado en la ficha Supervisión de la integridad de los archivos.
-
Escanear ambos: Escanea tanto para detectar CVE como para supervisar la integridad de los archivos.
La consola NetScaler tarda unos minutos en completar el análisis.
Nota
El registro de escaneo muestra solo los registros de los últimos cinco escaneos de CVE, que pueden programarse o bajo demanda.
Notificación (aplicable solo a los CVE)
Como administrador, recibe notificaciones de Citrix Cloud, que indican cuántas instancias de NetScaler son vulnerables a los CVE. Para ver las notificaciones, haga clic en el icono de campana situado en la esquina superior derecha de la GUI de NetScaler Console.
Renuncia de responsabilidades:
Tenga en cuenta que NetScaler File Integrity Monitoring (“la Función”) no es capaz de detectar todas las técnicas, tácticas o procedimientos (TTP) que los actores de amenazas pueden utilizar cuando atacan los entornos pertinentes. Los actores de amenazas cambian los TTP y la infraestructura con frecuencia y, por lo tanto, la función puede tener un valor forense limitado o nulo en relación con ciertas amenazas. Le recomendamos encarecidamente que contrate los servicios de investigadores forenses con experiencia para evaluar su entorno en relación con cualquier posible amenaza.
Este documento y la información que contiene se proporcionan tal cual. Cloud Software Group, Inc. no ofrece ninguna garantía ni representación, ya sea expresa o implícita, con respecto al documento o su contenido, incluyendo, sin limitación, que este documento o la información que contiene estén libres de errores o cumplan cualquier condición de comerciabilidad o idoneidad para un propósito particular.