Avis de sécurité
Une infrastructure sûre, sécurisée et résiliente est la ligne de vie de toute organisation. Points saillants de l’avis de sécurité de NetScaler Console :
-
Détection et correction des vulnérabilités et expositions courantes (CVE) : vous permet d’identifier les CVE qui mettent en danger vos instances NetScaler et de recommander des mesures correctives .
-
Surveillance de l’intégrité des fichiers : vous permet d’identifier si des modifications ou des ajouts ont été apportés à vos fichiers de build NetScaler.
En tant qu’administrateur, vous devez vous assurer de :
-
Suivez toutes les nouvelles vulnérabilités et expositions courantes (CVE), évaluez l’impact des CVE, comprenez les mesures correctives et résolvez les vulnérabilités.
-
Examinez l’intégrité de vos fichiers de build NetScaler.
Fonctions d’avis de sécurité
Les fonctions d’avis de sécurité suivantes vous aident à protéger votre infrastructure.
CV :
Fonctionnalités | Description |
---|---|
Analyse du système | Analyse toutes les instances gérées par défaut une fois par semaine. La console NetScaler décide de la date et de l’heure des analyses du système, mais vous ne pouvez pas les modifier. |
Scan à la demande | Vous pouvez scanner manuellement les instances si nécessaire. Si le temps écoulé depuis la dernière analyse du système est important, vous pouvez exécuter une analyse à la demande pour évaluer le niveau de sécurité actuel. Ou scannez après l’application d’une correction, pour évaluer la posture révisée. |
Analyse d’impact CVE | Affiche les résultats de tous les CVE ayant un impact sur votre infrastructure et de toutes les instances NetScaler touchées et suggère des mesures correctives. Utilisez ces informations pour appliquer des mesures correctives afin de corriger les risques de sécurité. |
Rapports CVE | Stocke les copies des cinq derniers scans. Vous pouvez télécharger ces rapports au format CSV et les analyser. |
Référentiel CVE | Fournit une vue détaillée de tous les CVE liés à NetScaler annoncés par Citrix depuis décembre 2019 et susceptibles d’avoir un impact sur votre infrastructure NetScaler. Vous pouvez utiliser cette vue pour comprendre les CVE dans le cadre des avis de sécurité et pour en savoir plus sur les CVE. Pour plus d’informations sur les CVE non pris en charge, consultez la section CVE non pris en charge dans l’avis de sécurité. |
Surveillance de l’intégrité des fichiers :
Fonctionnalités | Description |
---|---|
Scan à la demande | Vous devez exécuter une analyse à la demande pour obtenir les résultats des modifications de fichiers détectées dans les fichiers de génération de NetScaler. |
Analyse de surveillance de l’intégrité des fichiers | Compare la valeur de hachage binaire de vos fichiers de compilation NetScaler actuels avec le hachage binaire d’origine et met en évidence les modifications ou les ajouts de fichiers. Vous pouvez consulter les résultats de l’analyse sous l’onglet Surveillance de l’intégrité des fichiers . |
Points à noter
-
L’avis de sécurité ne prend pas en charge les versions de NetScaler qui ont atteint la fin de vie (EOL). Nous vous recommandons de passer aux versions ou versions prises en charge par NetScaler.
-
Instances prises en charge pour la détection CVE : toutes les instances NetScaler (SDX, MPX, VPX) et Gateway.
-
Instances prises en charge pour la surveillance de l’intégrité des fichiers : instances MPX, VPX et Gateway.
-
CVE pris en charge : tous les CVE après décembre 2019.
Remarque :
La détection et la correction des vulnérabilités affectant le plug-in NetScaler Gateway pour Windows ne sont pas prises en charge par l’avis de sécurité de la console NetScaler. Pour plus d’informations sur les CVE non pris en charge, consultez la section CVE non pris en charge dans l’avis de sécurité.
-
L’avis de sécurité de NetScaler Console ne prend en compte aucun type de mauvaise configuration des fonctionnalités lors de l’identification de la vulnérabilité.
-
L’avis de sécurité de la console NetScaler ne prend en charge que l’identification et la correction des CVE. Il ne prend pas en charge l’identification et la résolution des problèmes de sécurité mis en évidence dans l’article sur la sécurité.
-
Portée de NetScaler, versions Gateway : cette fonctionnalité est limitée aux versions principales. L’avis de sécurité n’inclut aucune construction spéciale dans son champ d’application.
- Les conseils de sécurité ne sont pas pris en charge dans la partition Admin.
-
Les types de scan suivants sont disponibles pour les CVE :
-
Analyse de version :cette analyse nécessite la console NetScaler pour comparer la version d’une instance NetScaler avec les versions et les versions sur lesquelles le correctif est disponible. Cette comparaison de versions permet à l’avis de sécurité de NetScaler Console d’identifier si le NetScaler est vulnérable au CVE. Par exemple, si un CVE est corrigé sur une version et une version xx.yy de NetScaler, l’avis de sécurité considère que toutes les instances de NetScaler situées sur des versions inférieures à xx.yy sont vulnérables. L’analyse de version est prise en charge aujourd’hui dans un avis de sécurité
-
Analyse de configuration :cette analyse nécessite que la console NetScaler corresponde à un modèle spécifique à l’analyse CVE avec le fichier de configuration NetScaler (nsconf). Si le modèle de configuration spécifique est présent dans le fichier NetScaler ns.conf, l’instance est considérée comme vulnérable à ce CVE. Ce scan est généralement utilisé avec le scan de version. L’analyse de configuration est prise en charge aujourd’hui dans un avis de sécurité
-
Analyse personnalisée :cette analyse nécessite la console NetScaler pour se connecter à l’instance NetScaler gérée, y envoyer un script et exécuter le script. La sortie du script permet à NetScaler Console d’identifier si le NetScaler est vulnérable au CVE. Les exemples incluent une sortie de commande shell spécifique, une sortie de commande CLI spécifique, certains journaux et l’existence ou le contenu de certains répertoires ou fichiers. Security Advisory utilise également des scans personnalisés pour détecter les correspondances entre plusieurs modèles de configuration, si le scan de configuration ne peut pas résoudre le problème. Pour les CVE qui nécessitent des analyses personnalisées, le script s’exécute à chaque fois que votre analyse planifiée ou à la demande est exécutée. Pour en savoir plus sur les données collectées et les options relatives à des scans personnalisés spécifiques, consultez la documentation relative à l’ avis de sécurité pour ce CVE.
-
-
Le scan suivant est disponible pour la surveillance de l’intégrité des fichiers :
-
Analyse de surveillance del’intégrité des fichiers : cette analyse nécessite la console NetScaler pour se connecter à l’instance NetScaler gérée. La console NetScaler compare les valeurs de hachage en exécutant un script dans NetScaler et en collectant les valeurs de hachage binaires actuelles pour les fichiers de compilation NetScaler. Après la comparaison, NetScaler Console fournit le résultat avec le nombre total de fichiers existants modifiés et le nombre total de fichiers récemment ajoutés. En tant qu’administrateur, vous pouvez contacter le service de criminalistique numérique de votre organisation pour de plus amples informations sur les résultats de l’analyse.
Les fichiers suivants sont analysés :
-
/netscaler
-
/bin, /sbin, /usr/bin, /usr/sbin, /usr/local/bin, /usr/local/sbin
-
/lib, /libexec, /usr/lib, /usr/libexec, /usr/local/lib, /usr/lib32, /compat
-
/etc
-
Le reste de
/usr
-
/root, /home, /mnt
-
-
-
Les scans n’ont aucune incidence sur le trafic de production sur NetScaler et ne modifient aucune configuration NetScaler sur NetScaler.
-
L’avis de sécurité de la console NetScaler ne prend pas en charge l’atténuation des CVE. Si vous avez appliqué des mesures d’atténuation (solution temporaire) à l’instance NetScaler, la console NetScaler continuera à identifier le NetScaler comme étant un NetScaler vulnérable jusqu’à ce que vous ayez terminé la correction.
-
Pour les instances FIPS, l’analyse CVE n’est pas prise en charge, mais l’analyse de surveillance de l’intégrité des fichiers est prise en charge.
-
Certaines modifications de fichiers peuvent survenir dans le cadre du fonctionnement normal de l’appareil, tandis que d’autres peuvent nécessiter un examen plus approfondi. Lorsque vous examinez les modifications apportées à un fichier, les points suivants peuvent s’avérer utiles :
-
Des modifications du
/netscaler
répertoire (dans les fichiers .html et .js ) peuvent survenir à la suite de l’utilisation de scripts ou de plug-ins. -
Le
/etc
répertoire contient des fichiers de configuration susceptibles d’être modifiés suite à une intervention inattendue après le démarrage du système. -
Il serait inhabituel qu’il y ait :
-
Rapports figurant dans
/bin
les/sbin
répertoires ,/lib
ou -
Nouveaux fichiers .php dans le répertoire
/netscaler
-
-
Comment utiliser le tableau de bord des conseils de sécurité
Pour accéder au tableau de bord Security Advisory , depuis l’interface graphique de la console NetScaler, accédez à Infrastructure > Instance Advisory > Security Advisory .
Le tableau de bord comprend quatre onglets :
- CVE actuels
- Surveillance de l’intégrité des fichiers
- Journal d’analyse
-
Référentiel CVE
Important :
Dans l’interface graphique ou le rapport Security Advisory, tous les CVE peuvent ne pas apparaître, et vous ne voyez peut-être qu’un seul CVE. Pour contourner ce problème, cliquez sur Analyser maintenant > Analyser les CVE pour exécuter une analyse à la demande. Une fois l’analyse terminée, tous les CVE dans la portée (environ 15) apparaissent dans l’interface utilisateur ou le rapport.
Dans le coin supérieur droit du tableau de bord se trouve l’icône des paramètres, qui vous permet de :
-
Activez et désactivez les notifications (applicable uniquement pour la détection CVE).
Vous pouvez recevoir les notifications suivantes concernant l’impact du CV.
-
Notifications par e-mail, Slack, PagerDuty et ServiceNow concernant les modifications apportées aux résultats de l’analyse CVE et les nouveaux CVE ajoutés au référentiel CVE.
-
Notification dans le cloud pour les modifications apportées aux résultats de l’analyse d’impact CVE.
-
-
Configurer les paramètres de numérisation personnalisés (applicables uniquement aux CVE)
Vous pouvez cliquer sur la liste des paramètres de numérisation personnalisés pour afficher la case à cocher des paramètres supplémentaires. Vous avez la possibilité de cocher la case et de vous désinscrire de ces scans CVE Custom. L’impact des CVE nécessitant une analyse personnalisée ne sera pas évalué pour vos instances NetScaler dans l’avis de sécurité.
CVE actuels
Cet onglet indique le nombre de CVE ayant un impact sur vos instances ainsi que les instances affectées par les CVE. Les onglets ne sont pas séquentiels, et en tant qu’administrateur, vous pouvez basculer entre ces onglets en fonction de votre cas d’utilisation.
Le tableau indiquant le nombre de CVE ayant un impact sur les instances de NetScaler contient les informations suivantes.
ID CVE : ID du CVE impactant les instances.
Date de publication : date à laquelle le bulletin de sécurité a été publié pour ce CVE.
Scorede gravité : type de gravité (élevé/moyen/critique) et score. Pour voir le score, passez la souris sur le type de gravité.
Type de vulnérabilité : type de vulnérabilité pour ce CVE.
InstancesNetScaler concernées : nombre d’instances sur lesquelles l’ID CVE a un impact. Lorsque vous survolez, la liste des instances de NetScaler s’affiche.
Correction : les solutions disponibles, qui consistent à mettre à niveau l’instance (généralement) ou à appliquer des packs de configuration.
La même instance peut être affectée par plusieurs CVE. Ce tableau vous aide à voir combien d’instances un CVE particulier ou plusieurs CVE sélectionnés ont un impact. Pour vérifier l’adresse IP de l’instance concernée, passez le curseur sur NetScaler Details sous Instances NetScaler concernées. Pour vérifier les détails de l’instance affectée, cliquez sur Afficher les instances affectées en bas du tableau. Vous pouvez également ajouter ou supprimer des colonnes dans le tableau en cliquant sur le signe plus.
Dans cet écran, le nombre de CVE ayant un impact sur vos instances est de 3 CVE et le nombre d’instances affectées par ces CVE est de deux.
L’onglet <number of>
Les instances NetScaler sont touchées par les CVE affiche toutes les instances NetScaler Console NetScaler concernées. Le tableau présente les informations suivantes :
- Adresse IP NetScaler
- Nom d’hôte
- Numéro de modèle NetScaler
- État du NetScaler
- Version et build du logiciel
- Liste des CVE ayant un impact sur NetScaler.
Vous pouvez ajouter ou supprimer n’importe laquelle de ces colonnes selon vos besoins, en cliquant sur le signe +.
Pour résoudre le problème de vulnérabilité, sélectionnez l’instance NetScaler et appliquez la correction recommandée. La plupart des CVE ont besoin d’une mise à niveau en tant que mesure corrective, tandis que d’autres nécessitent une mise à niveau et une étape supplémentaire.
-
Pour la correction du CVE-2020-8300, voir Corriger les vulnérabilités relatives à CVE-2020-8300.
-
Pour CVE-2021-22927 et CVE-2021-22920, voir Corriger les vulnérabilités pour CVE-2021-22927 et CVE-2021-22920.
-
Pour CVE CVE-2021-22956, voir Identification et correction des vulnérabilités relatives à CVE-2021-22956
-
Pour CVE CVE-2022-27509, voir Corriger les vulnérabilités pour CVE-2022-27509
Remarque
Si vos instances NetScaler sont personnalisées, consultez la section Considérations relatives à la mise à niveau pour les configurations NetScaler personnalisées avant de planifier la mise à niveau de NetScaler .
Mise à niveau : vous pouvez mettre à niveau les instances vulnérables de NetScaler vers une version et une version contenant le correctif. Ce détail peut être vu dans la colonne Correction. Pour mettre à niveau, sélectionnez l’instance, puis cliquez sur Continuer à mettre à niveau le flux de travail. Dans le processus de mise à niveau, le NetScaler vulnérable est automatiquement renseigné en tant que NetScaler cible.
Remarque
Les versions 12.0, 11,0, 10.5 et inférieures sont déjà en fin de vie (EOL). Si vos instances NetScaler s’exécutent sur l’une de ces versions, effectuez une mise à niveau vers une version prise en charge.
Le workflow de mise à niveau démarre. Pour plus d’informations sur l’utilisation de la console NetScaler pour mettre à niveau les instances NetScaler, consultez la section Utiliser les jobs pour mettre à niveau les instances NetScaler.
Remarque
La version et la version vers laquelle vous souhaitez mettre à niveau sont à votre discrétion. Consultez les conseils figurant dans la colonne « Corrections » pour savoir quelles versions et quelles versions contiennent le correctif de sécurité. Et en conséquence, sélectionnez une version et une version prises en charge, qui n’ont pas encore atteint la fin de vie.
Surveillance de l’intégrité des fichiers
Cet onglet affiche le résultat de l’analyse de surveillance de l’intégrité des fichiers avec les instances NetScaler qui ont subi des modifications ou des ajouts par rapport aux fichiers de compilation NetScaler d’origine.
L’exemple suivant montre le résultat de l’analyse de deux instances NetScaler concernées avec des fichiers existants modifiés et de nouveaux fichiers ajoutés aux fichiers de génération d’origine.
Cliquez sur les numéros sous Fichiers existants modifiés et Nouveaux fichiers ajoutés pour afficher les détails.
Journal de numérisation (applicable uniquement aux CVE)
L’onglet affiche les rapports des cinq dernières analyses CVE, qui incluent à la fois les analyses du système par défaut et les analyses à la demande initiées par l’utilisateur. Vous pouvez télécharger le rapport de chaque analyse au format CSV. Si une analyse à la demande est en cours, vous pouvez voir l’état d’achèvement ici. Si une analyse a échoué, l’état l’indique.
Référentiel CVE
Cet onglet inclut les dernières informations sur tous les CVE de décembre 2019, ainsi que les informations suivantes :
- Identifiants CVE
- Type de vulnérabilité
- Date de publication
- Niveau de gravité
- Correction
-
Liens vers les bulletins de sécurité
Scanner maintenant
Vous pouvez scanner les instances à tout moment, selon vos besoins.
Cliquez sur Analyser maintenant et sélectionnez Analyser lesCVE , Scanner les fichiers ou Analyser les deux pour obtenir le dernier rapport de sécurité de vos instances.
-
Scanner les CVE : analyse uniquement les CVE qui ont un impact sur vos instances NetScaler. Une fois l’analyse terminée, les informations de sécurité révisées apparaissent dans l’interface graphique de l’avis de sécurité. Vous pouvez également trouver le rapport sous Scan Log, que vous pouvez également télécharger.
-
Analyser les fichiers : analyse uniquement pour le contrôle de l’intégrité des fichiers et affiche le résultat dans l’onglet Contrôle de l’intégrité des fichiers .
-
Analyser les deux : analyse à la fois pour la détection CVE et la surveillance de l’intégrité des fichiers
L’analyse de la console NetScaler prend quelques minutes.
Remarque
Le journal de numérisation affiche les journaux des cinq dernières analyses CVE, qui peuvent être planifiées ou effectuées à la demande.
Notification (applicable uniquement aux CVE)
En tant qu’administrateur, vous recevez des notifications Citrix Cloud, qui indiquent le nombre d’instances NetScaler vulnérables aux CVE. Pour voir les notifications, cliquez sur l’icône en forme de cloche en haut à droite de l’interface graphique de la console NetScaler.
Clause d’exclusion de responsabilité :
Notez que le système NetScaler File Integrity Monitoring (« la fonctionnalité ») n’est pas capable de détecter toutes les techniques, tactiques ou procédures (TTP) que les auteurs de menaces peuvent utiliser pour cibler des environnements pertinents. Les auteurs de menaces modifient fréquemment les TTP et l’infrastructure. Par conséquent, la fonctionnalité peut avoir une valeur scientifique limitée, voire nulle, face à certaines menaces. Il est fortement conseillé de faire appel aux services d’enquêteurs judiciaires expérimentés pour évaluer votre environnement en lien avec toute menace éventuelle.
Ce document et les informations qu’il contient sont fournis tels quels. Cloud Software Group, Inc. ne donne aucune garantie ni ne fait aucune déclaration, expresse ou implicite, concernant le document ou son contenu, y compris, mais sans s’y limiter, que ce document ou les informations qu’il contient sont exempts d’erreurs ou répondent à des conditions de qualité marchande ou d’adéquation à un usage particulier.