Service NetScaler Console

Corrigez les vulnérabilités des systèmes CVE-2021-22927 et CVE-2021-22920

Dans le tableau de bord des conseils de sécurité de la console NetScaler, sous CVE actuels > <number of>Les instances NetScaler sont affectées par les CVE, vous pouvez voir toutes les instances vulnérables en raison des CVE-2021-22927 et CVE-2021-22920. Pour vérifier les détails des instances impactées par ces deux CVE, sélectionnez un ou plusieurs CVE et cliquez sur Afficher les instances affectées.

Tableau de bord contenant des conseils de sécurité pour CVE-2021-22927 et CVE-2021-22920

Remarque

L’analyse du système d’avis de sécurité peut prendre quelques heures pour se terminer et refléter l’impact des CVE-2021-22927 et CVE-2021-22920 sur le module d’avis de sécurité. Pour voir l’impact plus rapidement, lancez une analyse à la demande en cliquant sur Scanner maintenant. Pour plus d’informations sur le tableau de bord des avis de sécurité, voir Avis de sécurité .

La fenêtre <number of>Instances NetScaler affectées par les CVE s’affiche. Dans la capture d’écran suivante, vous pouvez voir le nombre et les détails des instances NetScaler touchées par CVE-2021-22927 et CVE-2021-22920.

Instances impactées par CVE-2020-8300

Corrigez CVE-2021-22927 et CVE-2021-22920

Pour les instances NetScaler affectées par CVE-2021-22927 et CVE-2021-22920, la correction est un processus en deux étapes. Dans l’interface graphique, sous Current CVE > Les instances NetScaler sont affectées par les CVE, vous pouvez consulter les étapes 1 et 2.

Étapes de correction pour CVE-2021-22927 et CVE-2021-22920

Les deux étapes sont les suivantes :

  1. Mise à niveau des instances vulnérables de NetScaler vers une version et une version contenant le correctif.
  2. Appliquer les commandes de configuration requises à l’aide du modèle de configuration intégré personnalisable dans les tâches de configuration. Suivez cette étape pour chaque NetScaler vulnérable, un par un, et incluez toutes les actions SAML pour ce NetScaler.

Remarque

Ignorez l’étape 2 si vous avez déjà exécuté des tâches de configuration sur l’instance NetScaler pour CVE-2020-8300.

Sous CVE> Instances NetScaler actuelles affectées par les CVE, vous trouverez deux flux de travail distincts pour ce processus de correction en deux étapes : Procéder au flux de travail de mise à niveau etProcéder au fluxde travail de configuration.

Processus de remédiation

Étape 1 : mettre à niveau les instances vulnérables de NetScaler

Pour mettre à niveau les instances vulnérables, sélectionnez les instances et cliquez sur Procéder au flux de travail de mise à niveau. Le flux de mise à niveau s’ouvre avec les instances NetScaler vulnérables déjà renseignées.

Étape 1 de remédiation

Pour plus d’informations sur l’utilisation de la console NetScaler pour mettre à niveau des instances NetScaler, consultez Créer une tâche de mise à niveau NetScaler.

Remarque

Cette étape peut être effectuée en une seule fois pour toutes les instances vulnérables de NetScaler. Remarque

Après avoir terminé l’étape 1 pour toutes les instances NetScaler vulnérables aux virus CVE-2021-22920 et CVE-2021-22927, effectuez un scan à la demande. La mise à jour de la posture de sécurité sous Current CVE vous permet de déterminer si les instances NetScaler sont toujours vulnérables à l’une de ces CVE. À partir de la nouvelle posture, vous pouvez également vérifier si vous devez exécuter des tâches de configuration. Si vous avez déjà appliqué les tâches de configuration appropriées à l’instance NetScaler pour CVE-2020-8300 et que vous avez maintenant mis à niveau l’instance NetScaler, après avoir effectué le scan à la demande, l’instance n’apparaît plus comme vulnérable pour CVE-2020-8300, CVE-2021-22920 et CVE-2021-22927.

Étape 2 : Appliquer les commandes de configuration

Après avoir mis à niveau les instances concernées, dans la fenêtre <number of> Instances NetScaler touchées par les CVE, sélectionnez une instance affectée par CVE-2021-22927 et CVE-2021-22920, puis cliquez sur Procéder au workflow des tâches de configuration. Le flux de travail inclut les étapes suivantes.

  1. Personnalisation de la configuration.
  2. Examen des instances impactées renseignées automatiquement.
  3. Spécification des entrées pour les variables de la tâche.
  4. Révision de la configuration finale avec les entrées variables renseignées.
  5. Exécuter le travail.

Gardez les points suivants à l’esprit avant de sélectionner une instance et de cliquer sur Procéder au flux de travail de configuration :

  • Pour une instance NetScaler affectée par plusieurs CVE (comme CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 et CVE-2021-22956) : lorsque vous sélectionnez l’instance et que vous cliquez sur Procéder au flux de travail de configuration, le modèle de configuration intégré ne se remplit pas automatiquement sous Sélectionner la configuration. Glissez et déposez manuellement le modèle de tâche de configuration approprié sous Modèle d’avis de sécurité dans le volet des tâches de configuration sur le côté droit.

  • Pour plusieurs instances NetScaler affectées par CVE-2021-22956 uniquement : vous pouvez exécuter des tâches de configuration sur toutes les instances à la fois. Par exemple, vous avez NetScaler 1, NetScaler 2 et NetScaler 3, et tous sont concernés uniquement par CVE-2021-22956. Sélectionnez toutes ces instances et cliquez sur Procéder au flux de travail de configuration. Le modèle de configuration intégré s’affiche automatiquement sous Sélectionner la configuration. Reportez-vous au problème connu NSADM-80913 dans les notes de publication.

  • Pour plusieurs instances NetScaler affectées par CVE-2021-22956 et une ou plusieurs autres CVE (telles que CVE-2020-8300, CVE-2021-22927 et CVE-2021-22920), qui nécessitent une correction à appliquer à chaque NetScaler à la fois : lorsque vous sélectionnez ces instances et cliquez sur Procéder au flux de travail de configuration, un message d’erreur s’affiche vous demandant d’exécuter la tâche de configuration sur chaque NetScaler Scaler à la fois.

Étape 1 : Sélection de la configuration

Dans le flux de travail de configuration, le modèle de base de configuration intégré est automatiquement renseigné sous Sélectionner la configuration.

Sélectionnez la configuration

Remarque

Si l’instance NetScaler sélectionnée à l’étape 2 pour appliquer les commandes de configuration est vulnérable à CVE-2021-22927, CVE-2021-22920, ainsi qu’à CVE-2020-8300, le modèle de base pour CVE-2020-8300 est automatiquement renseigné. Le modèle CVE-2020-8300 est un super ensemble de commandes de configuration requises pour les trois CVE. Personnalisez ce modèle de base en fonction du déploiement et des exigences de votre instance NetScaler.

Vous devez exécuter une tâche de configuration distincte pour chaque instance NetScaler affectée, une par une, et inclure toutes les actions SAML pour ce NetScaler. Par exemple, si vous possédez deux instances NetScaler vulnérables comportant chacune deux actions SAML, vous devez exécuter cette tâche de configuration deux fois. Une seule fois par NetScaler pour toutes ses actions SAML.

NetScaler 1 NetScaler 2
Tâche 1 : deux actions SAML Tâche 2 : deux actions SAML

Donnez un nom à la tâche et personnalisez le modèle selon les spécifications suivantes. Le modèle de configuration intégré n’est qu’un modèle de plan ou de base. Personnalisez le modèle en fonction de votre déploiement pour répondre aux exigences suivantes :

a. Actions SAML et domaines associés

En fonction du nombre d’actions SAML que vous avez dans votre déploiement, vous devez répliquer les lignes 1 à 3 et personnaliser les domaines pour chaque action SAML.

Personnaliser l'action SAML

Par exemple, si vous avez deux actions SAML, répétez les lignes 1 à 3 deux fois et personnalisez en conséquence les définitions de variables pour chaque action SAML.

Et si vous avez N domaines pour une action SAML, vous devez saisir manuellement la ligne bind patset $saml_action_patset$ “$saml_action_domain1$” plusieurs fois pour vous assurer que la ligne apparaît N fois pour cette action SAML. Et modifiez les noms des définitions de variables suivants :

  • saml_action_patset: est la variable du modèle de configuration et représente la valeur du nom du jeu de modèles (patset) pour l’action SAML. Vous pouvez spécifier la valeur réelle à l’étape 3 du flux de travail de configuration. Consultez la section Étape 3 : Spécifier les valeurs des variables dans ce document.

  • saml_action_domain1: est la variable du modèle de configuration, qui représente le nom de domaine pour cette action SAML spécifique. Vous pouvez spécifier la valeur réelle à l’étape 3 du flux de travail de configuration. Consultez la section Étape 3 : Spécifier les valeurs des variables dans ce document.

Pour rechercher toutes les actions SAML d’un appareil, exécutez la commande show samlaction.

Rechercher une action SAML

Étape 2 : Sélectionnez l’instance

L’instance affectée est automatiquement renseignée sous Select Instances. Sélectionnez l’instance et cliquez sur Suivant.

Sélectionnez une instance

Étape 3 : Spécifier les valeurs des variables

Entrez les valeurs des variables.

  • saml_action_patset: ajoute un nom pour l’action SAML
  • saml_action_domain1: entrez un domaine au format https://<example1.com>/
  • saml_action_name: entrez la même action SAML pour laquelle vous configurez la tâche

Spécifier des variables

Étape 4 : Prévisualiser la configuration

Prévisualise les valeurs des variables qui ont été insérées dans la configuration et cliquez sur Suivant.

Prévisualiser le job

Étape 5 : Exécuter la tâche

Cliquez sur Terminer pour exécuter la tâche de configuration.

Exécuter une tâche de configuration

Une fois la tâche exécutée, elle apparaît sous Infrastructure > Configuration > Tâches de configuration.

Après avoir effectué les deux étapes de correction pour toutes les instances vulnérables de NetScaler, vous pouvez exécuter un scan à la demande pour vérifier la posture de sécurité révisée.

Scénario

Dans ce scénario, deux instances NetScaler sont vulnérables à CVE-2021-22920 et vous devez corriger toutes les instances. Procédez comme suit :

  1. Mettez à niveau les trois instances NetScaler en suivant les étapes décrites dans la section « Mettre à niveau une instance » de ce document.

  2. Appliquez le correctif de configuration à un NetScaler à la fois, en utilisant le flux de travail de configuration. Consultez les étapes indiquées dans la section « Appliquer les commandes de configuration » de ce document.

Le NetScaler 1 vulnérable possède deux actions SAML :

  • L’action SAML 1 possède un domaine
  • L’action SAML 2 comporte deux domaines

Démarrer un flux de travail de configuration

Sélectionnez NetScaler 1 et cliquez sur Passer au workflow des tâches de configuration . Le modèle de base intégré se remplit automatiquement. Ensuite, donnez un nom de tâche et personnalisez le modèle en fonction de la configuration donnée.

Personnaliser le modèle pour un scénario donné

Le tableau suivant répertorie les définitions de variables pour les paramètres personnalisés.

Tableau. Définitions de variables pour l’action SAML

Configuration de NetScaler Définition de variable pour patset Définition de variable pour le nom de l’action SAML Définition de variable pour le domaine
L’action SAML 1 possède un domaine saml_action_patset1 saml_action_name1 saml_action_domain1
L’action SAML 2 comporte deux domaines saml_action_patset2 saml_action_name2 saml_action_domain2, saml_action_domain3

Sous Sélectionner les instances , sélectionnez NetScaler 1 et cliquez sur Suivant. La fenêtre Spécifier les valeurs des variables s’affiche. Au cours de cette étape, vous devez fournir des valeurs pour toutes les variables définies à l’étape précédente.

Spécifier un scénario variable

Ensuite, passez en revue les variables.

Réviser le scénario variable

Cliquez sur Suivant, puis sur Terminer pour exécuter la tâche.

Une fois la tâche exécutée, elle apparaît sous Infrastructure > Configuration > Tâches de configuration.

Après avoir effectué les deux étapes de correction pour NetScaler 1, suivez les mêmes étapes pour corriger NetScaler 2 et NetScaler 3. Une fois la correction terminée, vous pouvez exécuter une analyse à la demande pour voir la nouvelle posture de sécurité.

Corrigez les vulnérabilités des systèmes CVE-2021-22927 et CVE-2021-22920