安全で、セキュリティが高く、回復力のあるインフラストラクチャは、あらゆる組織にとって生命線です。 組織は、新しい共通脆弱性識別子 (CVE) を追跡し、CVE がインフラストラクチャに与える影響を評価する必要があります。 また、脆弱性を解決するための修復方法を理解し、計画する必要もあります。 NetScaler コンソールのセキュリティ アドバイザリ機能を使用すると、NetScaler インスタンスを危険にさらす CVE を特定し、修復を推奨することができます。 NetScaler コンソールのセキュリティ アドバイザリのハイライト:
共通脆弱性識別子 (CVE) の検出と修復 - NetScaler インスタンスを危険にさらしている CVE を特定し、修復を推奨します。
ファイル整合性監視 - NetScaler ビルド ファイルに変更や追加が行われたかどうかを識別できます。
管理者は、次の点を確認する必要があります。
新しい共通脆弱性識別子 (CVE) を追跡し、CVE の影響を評価し、修復方法を理解し、脆弱性を解決します。
NetScaler ビルド ファイルの整合性を検査します。
NetScaler Console on-prem 25.x 以降のビルドでは、セキュリティ アドバイザリはデフォルトで自動的に有効になります。
注意点:
ファイル整合性は、14.1-34.x 以降のビルドでサポートされます。 ファイル整合性監視は、すべての前提条件が満たされた NetScaler テレメトリ自動モードを通じて有効になります。 詳細については、 自動テレメトリ収集モードを参照してください。 いずれかの前提条件が満たされていない場合、セキュリティ アドバイザリにファイル整合性監視タブは表示されません。
新しい CVE 更新は、自動有効化チャネルを通じて自動的に同期されます。
セキュリティ アドバイザリを有効にすると、オプションのテレメトリが収集されます。 最新の CVE 更新を表示するには、セキュリティ アドバイザリを有効にすることをお勧めします。 ただし、オプションのパラメータを無効にすることもできます。 無効にするには、まず NetScaler Telemetry ページでセキュリティ アドバイザリを無効にし、次に 設定 > 管理 > コンソール機能のデータ共有を有効または無効にするに移動して、 コンソール機能の使用状況データを共有することに同意します チェックボックスをオフにする必要があります。
セキュリティ アドバイザリ ページに、新しい CVE 更新が同期されていないことが記載されたバナーが表示された場合は、コンソール オンプレミス GUI の NetScaler テレメトリで次の問題を確認してください。
次の表は、さまざまな NetScaler Console オンプレミス ビルドにおけるセキュリティ アドバイザリ機能の可用性に関する詳細を示しています。
| 建てる | セキュリティアドバイザリ機能の可用性 | 必要なアクション | データ収集 |
|---|---|---|---|
| 14.1-25.x以降 | セキュリティアドバイザリはデフォルトで有効になっています | テレメトリ収集モードが自動モードになっており、セキュリティ アドバイザリが有効になっており、前提条件の URL にアクセスできることを確認します。 | はい。 必須パラメータとオプションパラメータの両方が、 NetScaler テレメトリ プログラムを通じて収集されます。 |
| 14.1-8.x と 14.1-21.x の間 | セキュリティ アドバイザリは Cloud Connect を通じて有効になります。 | Cloud Connect を構成し、 セキュリティアドバイザリを有効にします。 | はい。 Cloud Connect を構成した後。 |
| 14.1-4.x 以前 | セキュリティ アドバイザリはプレビュー モードでのみ利用できます。 | 何もする必要はありません | いいえ |
次のセキュリティ アドバイザリ機能は、インフラストラクチャの保護に役立ちます。
CVE:
| 特徴 | 説明 |
|---|---|
| システムスキャン | デフォルトでは、すべての管理対象インスタンスを週に 1 回スキャンします。 NetScaler コンソールはシステムスキャンの日時を決定するため、変更することはできません。 |
| オンデマンドスキャン | 必要に応じてインスタンスを手動でスキャンできます。 前回のシステム スキャンから経過した時間が長い場合は、オンデマンド スキャンを実行して、現在のセキュリティ状況を評価できます。 または、修復を適用した後にスキャンして、修正された姿勢を評価します。 |
| CVE影響分析 | インフラストラクチャに影響を与えるすべての CVE と影響を受けるすべての NetScaler インスタンスの結果を表示し、修復を提案します。 この情報を使用して修復策を適用し、セキュリティ リスクを修正します。 |
| スキャンログ | 最後の 5 回のスキャンのコピーを保存します。 これらのレポートを CSV 形式および PDF 形式でダウンロードして分析できます。 |
| CVEリポジトリ | Citrix が 2019 年 12 月以降に発表した、NetScaler インフラストラクチャに影響を及ぼす可能性のあるすべての NetScaler 関連 CVE の詳細なビューを示します。 このビューを使用すると、セキュリティ アドバイザリの範囲内の CVE を理解し、CVE の詳細を知ることができます。 サポートされていない CVE の詳細については、セキュリティ アドバイザリの「 サポートされていない CVE」を参照してください。 |
ファイル整合性監視:
| 特徴 | 説明 |
|---|---|
| オンデマンドスキャン | NetScaler ビルド ファイルで検出されたファイルの変更に関する結果を取得するには、オンデマンド スキャンを実行する必要があります。 |
| ファイル整合性監視スキャン | 現在の NetScaler ビルド ファイルのバイナリ ハッシュ値を元のバイナリ ハッシュと比較し、ファイルの変更やファイルの追加がある場合は強調表示します。 スキャン結果は、 ファイル整合性監視 タブで確認できます。 |
セキュリティ アドバイザリは、サポート終了 (EOL) に達した NetScaler ビルドをサポートしません。 NetScaler でサポートされているビルドまたはバージョンにアップグレードすることをお勧めします。
CVE 検出がサポートされているインスタンス: すべての NetScaler (SDX、MPX、VPX) および Gateway。
ファイル整合性監視でサポートされるインスタンス: MPX、VPX インスタンス、およびゲートウェイ。
サポートされている CVE: 2019 年 12 月以降のすべての CVE。
注記:
Windows 用の NetScaler Gateway プラグインに影響する脆弱性の検出と修復は、NetScaler コンソール セキュリティ アドバイザリではサポートされていません。 サポートされていない CVE の詳細については、セキュリティ アドバイザリの「 サポートされていない CVE」を参照してください。
NetScaler コンソールのセキュリティ アドバイザリでは、脆弱性の特定時に機能の誤った構成は考慮されません。
NetScaler コンソールのセキュリティ アドバイザリは、CVE の識別と修復のみをサポートします。 セキュリティ記事で強調されているセキュリティ上の懸念事項の特定と修復はサポートされていません。
NetScaler、Gateway リリースの範囲: この機能はメイン ビルドに限定されます。 セキュリティ アドバイザリの範囲には特別なビルドは含まれません。
CVE では次の種類のスキャンが利用できます。
バージョン スキャン: このスキャンでは、NetScaler コンソールを使用して、NetScaler インスタンスのバージョンと、修正プログラムが利用可能なバージョンおよびビルドを比較する必要があります。 このバージョン比較は、NetScaler コンソールのセキュリティ アドバイザリで、NetScaler が CVE に対して脆弱であるかどうかを判断するのに役立ちます。 たとえば、NetScaler リリースおよびビルド xx.yy で CVE が修正された場合、セキュリティ アドバイザリでは、xx.yy より前のビルドのすべての NetScaler インスタンスが脆弱であるとみなされます。 バージョンスキャンは現在、セキュリティアドバイザリでサポートされています。
構成スキャン: このスキャンでは、NetScaler コンソールが CVE スキャンに固有のパターンを NetScaler 構成ファイル (nsconf) と照合する必要があります。 NetScaler ns.conf ファイルに特定の構成パターンが存在する場合、インスタンスはその CVE に対して脆弱であると見なされます。 このスキャンは通常、バージョン スキャンと共に使用されます。 構成スキャンは現在、セキュリティ アドバイザリでサポートされています。
カスタム スキャン: このスキャンでは、NetScaler Console が管理対象 NetScaler インスタンスに接続し、スクリプトをプッシュして、スクリプトを実行する必要があります。 スクリプトの出力は、NetScaler コンソールが NetScaler が CVE に対して脆弱であるかどうかを判断するのに役立ちます。 例としては、特定のシェル コマンドの出力、特定の CLI コマンドの出力、特定のログ、特定のディレクトリまたはファイルの存在や内容などが挙げられます。 セキュリティ アドバイザリでは、構成スキャンで解決できない場合、複数の構成パターンの一致に対してカスタム スキャンも使用します。 カスタム スキャンを必要とする CVE の場合、スケジュールされたスキャンまたはオンデマンド スキャンが実行されるたびにスクリプトが実行されます。 収集されるデータと特定のカスタム スキャンのオプションの詳細については、その CVE のセキュリティ アドバイザリ ドキュメントを参照してください。
ファイル整合性監視では次のスキャンが利用可能です。
ファイル整合性監視スキャン: このスキャンでは、NetScaler コンソールが管理対象の NetScaler インスタンスに接続する必要があります。 NetScaler コンソールは、NetScaler でスクリプトを実行し、NetScaler ビルド ファイルの現在のバイナリ ハッシュ値を収集して、ハッシュ値の比較を行います。 比較後、NetScaler コンソールは、変更された既存のファイルの合計数と新しく追加されたファイルの合計数を含む結果を提供します。 管理者は、スキャン結果のさらなる調査のために組織のデジタルフォレンジックに問い合わせることができます。
次のファイルがスキャンされます:
/ネットスケーラー
/bin、/sbin、/usr/bin、/usr/sbin、/usr/local/bin、/usr/local/sbin
/lib、/libexec、/usr/lib、/usr/libexec、/usr/local/lib、/usr/lib32、/compat
/等
残りの /usr
/root、/home、/mnt
スキャンは NetScaler 上の運用トラフィックに影響を与えず、NetScaler 上の NetScaler 構成を変更することもありません。
NetScaler コンソール セキュリティ アドバイザリは CVE 緩和策をサポートしていません。 NetScaler インスタンスに緩和策 (一時的な回避策) を適用した場合、修復が完了するまで、NetScaler コンソールは引き続き NetScaler を脆弱な NetScaler として識別します。
FIPS インスタンスでは、CVE スキャンはサポートされていませんが、ファイル整合性監視スキャンはサポートされています。
一部のファイルの変更はデバイスの通常の操作の一環として発生する可能性がありますが、その他の変更についてはさらに調査が必要になる場合があります。 ファイルの変更を確認するときは、次のことが役立つ場合があります。
スクリプトまたはプラグインの使用により、 /netscaler ディレクトリ ( .html および .js ファイル内) の変更が発生する可能性があります。
/etc ディレクトリには、システムの起動後に予期しない介入によって変更される可能性のある設定ファイルが含まれています。
次のような場合は異常です:
/bin、 /sbin、または /lib ディレクトリ内のレポート
/netscaler ディレクトリ内の新しい .php ファイル
セキュリティ アドバイザリ ダッシュボードにアクセスするには、NetScaler コンソール GUI から、 インフラストラクチャ > インスタンス アドバイザリ > セキュリティ アドバイザリに移動します。
ダッシュボードには 3 つのタブがあります。
現在のCVE
ファイル整合性監視
スキャンログ
CVEリポジトリ
重要:
セキュリティ アドバイザリ GUI またはレポートでは、すべての CVE が表示されない可能性があり、1 つの CVE のみが表示される場合があります。 回避策として、[ 今すぐスキャン ] をクリックしてオンデマンド スキャンを実行します。 スキャンが完了すると、対象範囲内のすべての CVE (約 15 個) が UI またはレポートに表示されます。
ダッシュボードの右上隅には設定アイコンがあり、次の操作を実行できます。
通知を有効または無効にします (CVE にのみ適用されます)。
CVE の影響については、次の通知を受け取ることができます。
CVE スキャン結果の変更と CVE リポジトリに追加された新しい CVE に関する電子メール、Slack、PagerDuty、および ServiceNow 通知。
CVE 影響スキャン結果の変更に関するクラウド通知。
カスタムスキャン設定を構成する(CVE にのみ適用)
カスタムスキャン設定 リストをクリックすると、追加の設定チェックボックスが表示されます。 チェックボックスを選択して、これらの CVE カスタム スキャンをオプトアウトすることもできます。 カスタムスキャンが必要な CVE の影響は、セキュリティアドバイザリの NetScaler インスタンスでは評価されません。
このタブには、インスタンスに影響を与えている CVE の数と、CVE の影響を受けるインスタンスが表示されます。 タブは連続しておらず、管理者は使用事例に応じてこれらのタブを切り替えることができます。
NetScaler インスタンスに影響を与える CVE の数を示す表には、次の詳細が記載されています。
CVE ID: インスタンスに影響を与える CVE の ID。
公開日: その CVE のセキュリティ情報がリリースされた日付。
重大度スコア: 重大度の種類 (高/中/重大) とスコア。 スコアを表示するには、重大度の種類にマウスを置きます。
脆弱性の種類: この CVE の脆弱性の種類。
影響を受ける NetScaler インスタンス: CVE ID が影響を与えるインスタンスの数。 マウスを移動すると、NetScaler インスタンスのリストが表示されます。
修復: 利用可能な修復。通常はインスタンスをアップグレードするか、構成パックを適用します。
同じインスタンスが複数の CVE の影響を受ける可能性があります。 この表は、特定の CVE または選択された複数の CVE が影響を与えているインスタンスの数を確認するのに役立ちます。 影響を受けるインスタンスの IP アドレスを確認するには、「 影響を受ける NetScaler インスタンス」の下にある「NetScaler の詳細」にマウスを移動します。 影響を受けるインスタンスの詳細を確認するには、表の下部にある [ 影響を受けるインスタンスを表示 ] をクリックします。 プラス記号をクリックして、テーブル内の列を追加または削除することもできます。
この画面では、インスタンスに影響を与える CVE の数は 3 個で、これらの CVE の影響を受けるインスタンスは 1 個です。
<number of> NetScaler インスタンスは CVE の影響を受けます タブには、影響を受けるすべての NetScaler Console NetScaler インスタンスが表示されます。 表には次の詳細が表示されます。
NetScaler に影響を与える CVE のリスト。
脆弱性の問題を修正するには、NetScaler インスタンスを選択し、推奨される修復を適用します。 ほとんどの CVE は修復としてアップグレードが必要ですが、その他の CVE は修復としてアップグレードと追加の手順が必要です。
CVE-2020-8300 の修復については、「 CVE-2020-8300 の脆弱性の修復」を参照してください。
CVE-2021-22927 および CVE-2021-22920 については、「 CVE-2021-22927 および CVE-2021-22920 の脆弱性を修正する」を参照してください。
CVE CVE-2021-22956 については、 CVE-2021-22956 の脆弱性を特定して修正するを参照してください。
CVE CVE-2022-27509 については、 CVE-2022-27509 の脆弱性を修正するを参照してください。
注記
NetScaler インスタンスにカスタマイズがある場合は、NetScaler のアップグレードを計画する前に、「 カスタマイズされた NetScaler 構成のアップグレードに関する考慮事項 」を参照してください。
アップグレード: 脆弱な NetScaler インスタンスを、修正が適用されたリリースおよびビルドにアップグレードできます。 この詳細は修復列で確認できます。 アップグレードするには、インスタンスを選択し、 アップグレード ワークフローに進みますをクリックします。 アップグレード ワークフローでは、脆弱な NetScaler がターゲット NetScaler として自動的に入力されます。
注記
リリース 12.0、11.0、10.5 およびそれ以下のバージョンはすでにサポート終了 (EOL) になっています。 NetScaler インスタンスがこれらのいずれかのリリースで実行されている場合は、サポートされているリリースにアップグレードしてください。
アップグレード ワークフローが開始されます。 NetScaler コンソールを使用して NetScaler インスタンスをアップグレードする方法の詳細については、「 ジョブを使用して NetScaler インスタンスをアップグレードする」を参照してください。
注記
どのリリースとビルドにアップグレードするかは、お客様の判断にお任せします。 どのリリースとビルドにセキュリティ修正が含まれているかを確認するには、修復列の下のアドバイスを参照してください。 それに応じて、まだサポート終了になっていない、サポートされているリリースとビルドを選択します。
このタブには、元の NetScaler ビルド ファイルに変更または追加された NetScaler インスタンスのファイル整合性監視スキャン結果が表示されます。
次の例は、既存のファイルが変更され、元のビルド ファイルに新しいファイルが追加された、影響を受ける 2 つの NetScaler インスタンスのスキャン結果を示しています。
詳細を表示するには、「 既存のファイルが変更されました 」と「 新しいファイルが追加されました 」の下の数字をクリックします。
タブには、デフォルトのシステム スキャンとオンデマンドのユーザー開始スキャンの両方を含む、過去 5 回の CVE スキャンのレポートが表示されます。 各スキャンのレポートを CSV 形式と PDF 形式でダウンロードできます。 オンデマンドスキャンが進行中の場合は、完了ステータスも確認できます。
このタブには、2019 年 12 月からのすべての CVE の最新情報と、次の詳細が含まれています。
セキュリティ情報へのリンク
必要に応じていつでもインスタンスをスキャンできます。
NetScaler インスタンスに影響を与える CVE をスキャンするには、[ 今すぐスキャン ] をクリックします。 スキャンが完了すると、修正されたセキュリティの詳細がセキュリティ アドバイザリ GUI に表示されます。
NetScaler コンソールでスキャンが完了するまでに数分かかります。
管理者は、CVE の脆弱性がある NetScaler インスタンスの数を通知する Citrix Cloud 通知を受け取ります。 通知を表示するには、NetScaler コンソール GUI の右上隅にあるベル アイコンをクリックします。
免責事項:
NetScaler ファイル整合性モニタリング (「本機能」) では、脅威アクターが関連環境を標的とする際に使用する可能性のあるすべての手法、戦術、または手順 (TTP) を検出できるわけではないことに注意してください。 脅威アクターは TTP とインフラストラクチャを頻繁に変更するため、この機能は特定の脅威に対してはフォレンジック価値がほとんどないかまったくない可能性があります。 あらゆる潜在的な脅威に関連して、環境を評価するために経験豊富な法医学調査員のサービスを利用することを強くお勧めします。
この文書およびこれに含まれる情報は現状のまま提供されます。 Cloud Software Group, Inc. は、この文書またはその内容に関して、明示的か黙示的かを問わず、この文書またはこれに含まれる情報が誤りがないこと、または商品性や特定目的への適合性の条件を満たしていることを含め、一切の保証または表明を行いません。