NetScaler Console サービス

CVE検出

NetScalerは、インスタンスのバージョン、構成、システムファイルをスキャンして脆弱性を特定することで、CVEを検出します。更新されたCVEリポジトリを使用し、詳細な影響分析と修復の提案を提供します。

セキュリティアドバイザリダッシュボードのCVE検出セクションには、次の項目が一覧表示されます。

  • 検出されたCVEの数
  • 影響を受けるNetScalerインスタンスの数
  • 最終スキャン実行日
  • 重大、高、中、低の各深刻度に分類された、影響を受けるNetScalerインスタンス

CVE検出セクション

管理者として、NetScalerに定期的にスケジュールされたシステムスキャンを実行させることも、必要に応じてオンデマンドスキャンを実行することもできます。

  • システムスキャン - デフォルトですべての管理対象インスタンスをスキャンします。NetScaler Consoleがシステムスキャンの日時を決定するため、変更することはできません。
  • オンデマンドスキャン - 必要に応じてインスタンスを手動でスキャンできます。前回のシステムスキャンからかなりの時間が経過している場合は、オンデマンドスキャンを実行して現在のセキュリティ状況を評価できます。または、修復が適用された後にスキャンして、改訂された状況を評価します。オンデマンドスキャンを実行するには、セキュリティアドバイザリで今すぐスキャンをクリックします。

CVE検出セクションをクリックすると、詳細情報を表示できます。

CVE検出セクション

CVE検出セクションには、2つのビューがあります。

  • インスタンスビュー
  • CVEビュー

インスタンスビュー

インスタンスビューには、影響を受けるインスタンスタブとCVEリポジトリタブが含まれています。

影響を受けるインスタンスタブには、影響を受けるNetScalerインスタンスのリストが表示されます。

影響を受けるインスタンスビュー

影響を受けるインスタンスは、次のフォームファクターに基づいて分類されます。

  • MPXおよびVPX
  • SDX
  • CPX
  • BLX

次の項目に基づいてインスタンスを検索することもできます。

  • 検出されたCVE
  • ホスト名
  • モデル
  • NetScalerインスタンス
  • 状態

このテーブルには、次の詳細が表示されます。

  • NetScaler IPアドレス
  • ホスト名
  • NetScalerモデル番号
  • NetScalerの状態
  • ソフトウェアバージョンとビルド
  • NetScalerに影響を与えるCVEのリスト

ほとんどのCVEは修復としてアップグレードが必要ですが、アップグレードと追加の手順が必要なものもあります。

脆弱なNetScalerインスタンスを、修正が含まれるリリースとビルドにアップグレードできます。アップグレードするには、次のいずれかを実行します。

  • アップグレードワークフロー - インスタンスを選択し、アップグレードワークフローに進むをクリックします。
  • 構成ジョブワークフロー - インスタンスを選択し、構成ジョブワークフローをクリックします。

アップグレードワークフローが開始され、脆弱なNetScalerがターゲットNetScalerとして自動入力されます。NetScaler Consoleを使用してNetScalerインスタンスをアップグレードする方法の詳細については、「ジョブを使用してNetScalerインスタンスをアップグレードする」を参照してください。

注:

  • リリース13.0、12.1、12.0、11.0、10.5、およびそれ以前のバージョンは、すでにサポート終了(EOL)です。NetScalerインスタンスがこれらのリリースのいずれかで実行されている場合は、サポートされているリリースにアップグレードしてください。

  • アップグレードするリリースとビルドは、お客様の判断に委ねられます。どのリリースとビルドにセキュリティ修正が含まれているかについては、修復列のアドバイスを参照してください。それに応じて、まだサポート終了に達していないサポート対象のリリースとビルドを選択してください。

CVEビューに切り替えるには、CVEビューに切り替えるをクリックします。

CVEビュー

CVEビューには、インフラストラクチャに影響を与えるすべてのCVEと、影響を受けるすべてのNetScalerインスタンスの結果が表示され、修復が提案されます。この情報を使用して、セキュリティリスクを修正するための修復を適用できます。

CVEビュータブ

NetScalerインスタンスに影響を与えるCVEの数を示すテーブルには、次の詳細が含まれています。

  • CVE ID: インスタンスに影響を与えるCVEのID。

  • 公開日: そのCVEのセキュリティ速報がリリースされた日付。

  • 深刻度スコア: 深刻度の種類(高/中/重大)とスコア。スコアを表示するには、深刻度の種類にカーソルを合わせます。

  • 脆弱性の種類: このCVEの脆弱性の種類。

  • 影響を受けるNetScalerインスタンス: CVE IDが影響を与えているインスタンスの数。カーソルを合わせると、NetScalerインスタンスのリストが表示されます。

  • 修復: 利用可能な修復。通常はインスタンスのアップグレード、または構成パックの適用です。

同じインスタンスが複数のCVEによって影響を受ける可能性があります。このテーブルは、特定の1つのCVEまたは選択された複数のCVEがいくつのインスタンスに影響を与えているかを確認するのに役立ちます。影響を受けるインスタンスのIPアドレスを確認するには、影響を受けるNetScalerインスタンスの下にあるNetScalerの詳細にカーソルを合わせます。影響を受けるインスタンスの詳細を確認するには、テーブルの下部にある影響を受けるインスタンスを表示をクリックします。 プラス記号をクリックして、テーブルの列を追加または削除することもできます。

CVEリポジトリ

インスタンスビューとCVEビューの両方にCVEリポジトリタブが含まれています。このタブには、2019年12月以降にCitrixが発表した、NetScalerインフラストラクチャに影響を与える可能性のあるすべてのNetScaler関連CVEの詳細が表示されます。

  • CVE ID
  • 脆弱性の種類
  • 公開日
  • 深刻度レベル
  • 修復
  • セキュリティ速報へのリンク

CVEリポジトリタブ

このビューを使用して、セキュリティアドバイザリの範囲内のCVEを理解し、CVEについてさらに詳しく知ることができます。サポートされていないCVEについては、「セキュリティアドバイザリでサポートされていないCVE」を参照してください。

注意事項

  • セキュリティアドバイザリは、サポート終了(EOL)に達したNetScalerビルドをサポートしていません。NetScalerがサポートするビルドまたはバージョンにアップグレードすることをお勧めします。

  • CVE検出でサポートされるインスタンス:すべてのNetScaler(SDX、MPX、VPX)およびGateway。

  • ファイル整合性監視でサポートされるインスタンス:MPX、VPXインスタンス、およびGateway。

  • サポートされるCVE:2019年12月以降のすべてのCVE。

    注:

    Windows用NetScaler Gatewayプラグインに影響を与える脆弱性の検出と修復は、NetScaler Consoleセキュリティアドバイザリではサポートされていません。サポートされていないCVEについては、「セキュリティアドバイザリでサポートされていないCVE」を参照してください。

  • NetScaler Consoleセキュリティアドバイザリは、脆弱性を特定する際に、いかなる種類の機能の誤構成も考慮しません。

  • NetScaler Consoleセキュリティアドバイザリは、CVEの特定と修復のみをサポートします。セキュリティ記事で強調されているセキュリティ上の懸念事項の特定と修復はサポートしていません。

  • NetScaler、Gatewayリリースの範囲:この機能はメインビルドに限定されます。セキュリティアドバイザリには、特別なビルドは含まれません。

    • セキュリティアドバイザリは、管理パーティションではサポートされていません。
  • CVEには、次の種類のスキャンが利用可能です。

    • バージョン スキャン: このスキャンでは、NetScaler ConsoleがNetScalerインスタンスのバージョンと、修正が利用可能なバージョンおよびビルドを比較する必要があります。このバージョン比較により、NetScaler Consoleセキュリティアドバイザリは、NetScalerがCVEに対して脆弱であるかどうかを特定できます。たとえば、CVEがNetScalerリリースおよびビルドxx.yyで修正されている場合、セキュリティアドバイザリは、xx.yyより小さいビルドのすべてのNetScalerインスタンスを脆弱であると見なします。バージョン スキャンは、現在セキュリティアドバイザリでサポートされています。

    • 構成スキャン: このスキャンでは、NetScaler ConsoleがCVEスキャンに固有のパターンをNetScaler構成ファイル(nsconf)と照合する必要があります。特定の構成パターンがNetScalerのns.confファイルに存在する場合、そのインスタンスはそのCVEに対して脆弱であると見なされます。このスキャンは通常、バージョン スキャンと組み合わせて使用されます。 構成スキャンは、現在セキュリティアドバイザリでサポートされています。

    • カスタムスキャン: このスキャンでは、NetScaler Consoleが管理対象のNetScalerインスタンスに接続し、スクリプトをプッシュして実行する必要があります。スクリプトの出力は、NetScaler ConsoleがNetScalerがCVEに対して脆弱であるかどうかを特定するのに役立ちます。例としては、特定のシェルコマンド出力、特定のCLIコマンド出力、特定のログ、特定のディレクトリまたはファイルの存在または内容などがあります。カスタムスキャンを必要とするCVEの場合、スケジュールされたスキャンまたはオンデマンドスキャンが実行されるたびにスクリプトが実行されます。特定のカスタムスキャンで収集されるデータとオプションの詳細については、そのCVEのセキュリティアドバイザリドキュメントを参照してください。

  • スキャンはNetScalerの運用トラフィックに影響を与えず、NetScaler上のNetScaler構成を変更することもありません。

  • NetScaler Consoleセキュリティアドバイザリは、CVEの軽減をサポートしていません。NetScalerインスタンスに軽減策(一時的な回避策)を適用した場合でも、修復が完了するまでNetScaler ConsoleはNetScalerを脆弱なNetScalerとして識別します。

  • FIPSインスタンスの場合、CVEスキャンはサポートされていません。

CVE検出