安全、可靠且有弹性的基础设施是任何组织的生命线。 组织必须跟踪新的常见漏洞和暴露 (CVE),并评估 CVE 对其基础设施的影响。 他们还必须了解并规划解决漏洞的补救措施。 NetScaler 控制台中的安全公告功能使您能够识别使您的 NetScaler 实例面临风险的 CVE 并提出补救措施。 NetScaler 控制台安全公告重点:
常见漏洞和暴露 (CVE) 检测和补救 - 使您能够识别使您的 NetScaler 实例面临风险的 CVE 并建议补救措施。
文件完整性监控 - 使您能够识别 NetScaler 构建文件是否进行了任何更改或添加。
作为管理员,您必须确保:
跟踪任何新的常见漏洞和暴露 (CVE),评估 CVE 的影响,了解补救措施并解决漏洞。
检查 NetScaler 构建文件的完整性。
在 NetScaler Console on-prem 25.x 及更高版本中,安全公告默认自动启用。
注意事项:
14.1-34.x 及更高版本支持文件完整性。 通过 NetScaler 遥测自动模式启用文件完整性监控,并满足所有先决条件。 有关更多信息,请参阅 自动遥测收集模式。 如果不满足任何先决条件,则“文件完整性监控”选项卡不会显示在安全公告中。
新的 CVE 更新通过自动启用的渠道自动同步。
当您启用 安全公告时,会收集可选遥测数据。 建议启用安全公告来查看最新的 CVE 更新。 但是,您也可以禁用可选参数。 要禁用,您必须首先在 NetScaler Telemetry 页面中禁用安全公告,然后导航至 设置 > 管理 > 启用或禁用控制台功能数据共享,并清除 我同意共享控制台功能使用数据 复选框。
如果您注意到安全公告页面中的横幅提及新的 CVE 更新未同步,请检查控制台本地 GUI 中的 NetScaler 遥测中是否存在以下问题:
下表提供了有关不同 NetScaler 控制台本地版本中安全公告功能可用性的详细信息:
建造 | 安全公告功能可用性 | 需要采取的行动 | 数据收集 |
---|---|---|---|
14.1-25.x 或更高版本 | 安全建议默认启用 | 确保遥测收集模式处于自动模式且安全公告已启用,并且先决条件 URL 可访问。 | 是的。 必需参数和可选参数均通过 NetScaler 遥测程序收集。 |
14.1-8.x 和 14.1-21.x 之间 | 安全警告通过 Cloud Connect 启用。 | 配置 Cloud Connect 并启用 安全公告。 | 是的。 配置云连接后。 |
14.1-4.x 或更早版本 | 安全公告仅在预览模式下可用。 | 无需采取任何行动 | 不 |
以下安全公告功能可帮助您保护基础设施:
CVE:详细了解 Citrix 自 2019 年 12 月以来宣布的所有可能影响您的 NetScaler 基础设施的 NetScaler 相关 CVE。 您可以使用此视图了解安全公告范围内的 CVE 并了解有关 CVE 的更多信息。 有关不受支持的 CVE 的信息,请参阅安全公告</a>中的 不受支持的 CVE。</td> </tr> </tbody> </table>
文件完整性监控:
特征 | 描述 |
---|---|
按需扫描 | 您必须运行按需扫描才能获取在 NetScaler 构建文件中检测到的任何文件更改的结果。 |
文件完整性监控扫描 | 将当前 NetScaler 构建文件的二进制哈希值与原始二进制哈希值进行比较,并突出显示是否有任何文件更改或文件添加。 您可以在 文件完整性监控 选项卡下查看扫描结果。 |
安全公告不支持已达到生命周期结束 (EOL) 的 NetScaler 版本。 我们建议您升级到 NetScaler 支持的版本或版本。
CVE 检测支持的实例:所有 NetScaler(SDX、MPX、VPX)和 Gateway。
文件完整性监控支持的实例:MPX、VPX 实例和网关。
支持的 CVE:2019 年 12 月之后的所有 CVE。
笔记:
NetScaler 控制台安全公告不支持检测和修复影响 Windows 版 NetScaler Gateway 插件的漏洞。 有关不受支持的 CVE 的信息,请参阅安全公告</a>中的 不受支持的 CVE。</p> </blockquote></li>
NetScaler 控制台安全公告在识别漏洞时不会考虑任何类型的功能配置错误。
NetScaler 控制台安全公告仅支持 CVE 的识别和修复。 它不支持识别和修复安全文章中强调的安全问题。
NetScaler、Gateway 版本的范围:该功能仅限于主要版本。 安全公告的范围内不包括任何特殊构建。
- 管理分区不支持安全公告。
以下类型的扫描适用于 CVE:
版本扫描:此扫描需要 NetScaler 控制台将 NetScaler 实例的版本与可获得修复的版本和构建进行比较。 此版本比较有助于 NetScaler 控制台安全公告识别 NetScaler 是否容易受到 CVE 攻击。 例如,如果在 NetScaler 版本和构建 xx.yy 上修复了 CVE,则安全公告会将构建版本低于 xx.yy 的所有 NetScaler 实例视为易受攻击。 目前安全公告中支持版本扫描。
配置扫描:此扫描需要 NetScaler 控制台将特定于 CVE 扫描的模式与 NetScaler 配置文件 (nsconf) 进行匹配。 如果 NetScaler ns.conf 文件中存在特定的配置模式,则该实例被视为容易受到该 CVE 的攻击。 此扫描通常与版本扫描一起使用。 今天的安全公告中支持配置扫描。
自定义扫描:此扫描需要 NetScaler Console 连接到托管 NetScaler 实例,向其推送脚本,然后运行该脚本。 脚本输出可帮助 NetScaler 控制台识别 NetScaler 是否容易受到 CVE 攻击。 示例包括特定的 shell 命令输出、特定的 CLI 命令输出、某些日志以及某些目录或文件的存在或内容。 如果配置扫描无法提供帮助,安全公告还会使用自定义扫描来匹配多个配置模式。 对于需要自定义扫描的 CVE,该脚本会在每次运行计划扫描或按需扫描时运行。 在该 CVE 的安全公告文档中了解有关所收集的数据和特定自定义扫描选项的更多信息。
以下扫描可用于文件完整性监控:
文件完整性监控扫描:此扫描需要 NetScaler 控制台与托管 NetScaler 实例连接。 NetScaler 控制台通过在 NetScaler 中运行脚本并收集 NetScaler 构建文件的当前二进制哈希值来对哈希值进行比较。 比较后,NetScaler Console 提供修改的现有文件总数和新添加的文件总数的结果。 作为管理员,您可以联系您组织的数字取证部门,对扫描结果进行进一步调查。
扫描以下文件:
/netscaler
/bin、/sbin、/usr/bin、/usr/sbin、/usr/local/bin、/usr/local/sbin
/lib、/libexec、/usr/lib、/usr/libexec、/usr/local/lib、/usr/lib32、/compat
/ETC
/usr
的其余部分
/root、/home、/mnt
扫描不会影响 NetScaler 上的生产流量,也不会改变 NetScaler 上的任何 NetScaler 配置。
NetScaler 控制台安全公告不支持 CVE 缓解。 如果您已对 NetScaler 实例应用缓解措施(临时解决方法),NetScaler 控制台仍会将 NetScaler 识别为易受攻击的 NetScaler,直到您完成补救为止。
对于 FIPS 实例,不支持 CVE 扫描,但支持文件完整性监控扫描。
一些文件更改可能是设备正常运行的一部分,而其他文件更改可能需要进一步调查。 查看文件更改时,以下内容可能会有所帮助:
使用脚本或插件可能会导致
/netscaler
目录(在 .html 和 .js 文件中)发生变化。
/etc
目录包含可能因系统启动后意外干预而发生更改的配置文件。如果存在以下情况,那就不寻常了:
/bin
、/sbin
或/lib
目录中的报告
/netscaler
目录中的新 .php 文件</ul>如何使用安全公告仪表板
要访问 安全公告 仪表板,请从 NetScaler 控制台 GUI 导航到 基础设施 > 实例公告 > 安全公告。
仪表板包括三个选项卡:
当前 CVE
文件完整性监控
扫描日志
CVE 存储库
重要的:
在 安全公告 GUI 或报告中,可能不会出现所有 CVE,您可能只会看到一个 CVE。 作为一种解决方法,单击 立即扫描 以运行按需扫描。 扫描完成后,范围内的所有 CVE(大约 15 个)都会出现在 UI 或报告中。
仪表板的右上角是设置图标,它允许您:
启用和禁用通知(仅适用于 CVE)。
您可以收到以下有关 CVE 影响的通知。
有关 CVE 扫描结果变化和 CVE 存储库中添加的新 CVE 的电子邮件、Slack、PagerDuty 和 ServiceNow 通知。
CVE影响扫描结果变化的云通知。
配置自定义扫描设置(仅适用于 CVE)
您可以单击 自定义扫描设置 列表来查看其他设置复选框。 您可以选择选中复选框并选择退出这些 CVE 自定义扫描。 安全公告中不会评估需要自定义扫描的 CVE 对您的 NetScaler 实例的影响。
当前 CVE
此选项卡显示影响您的实例的 CVE 数量以及受 CVE 影响的实例。 这些选项卡不是连续的,作为管理员,您可以根据使用情况在这些选项卡之间切换。
显示影响 NetScaler 实例的 CVE 数量的表格包含以下详细信息。
CVE ID:影响实例的 CVE 的 ID。
发布日期:发布该 CVE 安全公告的日期。
严重程度分数:严重程度类型(高/中/严重)和分数。 要查看分数,请将鼠标悬停在严重性类型上。
漏洞类型:此 CVE 的漏洞类型。
受影响的 NetScaler 实例:受 CVE ID 影响的实例数量。 将鼠标悬停在上面时,将显示 NetScaler 实例列表。
补救措施:可用的补救措施,即升级实例(通常)或应用配置包。
同一个实例可能会受到多个 CVE 的影响。 该表可帮助您了解一个特定 CVE 或多个选定 CVE 影响的实例数。 要检查受影响实例的 IP 地址,请将鼠标悬停在 受影响的 NetScaler 实例下的 NetScaler 详细信息上。 要检查受影响实例的详细信息,请单击表格底部的 查看受影响的实例 。 您还可以通过单击加号来添加或删除表中的列。
在此屏幕中,影响您的实例的 CVE 数量为 3 个 CVE,而受这些 CVE 影响的实例为 1 个。
<number of>
NetScaler 实例受到 CVE 的影响 选项卡显示所有受影响的 NetScaler 控制台 NetScaler 实例。 该表显示以下详细信息:
- NetScaler IP 地址
- 主机名
- NetScaler 型号
- NetScaler 现状
- 软件版本和构建
- 影响 NetScaler 的 CVE 列表。
您可以根据需要通过单击 + 号来添加或删除任何这些列。
要修复漏洞问题,请选择 NetScaler 实例并应用建议的补救措施。 大多数 CVE 需要升级作为补救措施,而其他 CVE 则需要升级并采取额外步骤作为补救措施。
对于 CVE-2020-8300 的补救措施,请参阅 修复 CVE-2020-8300 的漏洞。
对于 CVE-2021-22927 和 CVE-2021-22920,请参阅 修复 CVE-2021-22927 和 CVE-2021-22920 的漏洞。
对于 CVE CVE-2021-22956,请参阅 识别并修复 CVE-2021-22956 的漏洞
对于 CVE CVE-2022-27509,请参阅 修复 CVE-2022-27509 的漏洞
笔记
如果您的 NetScaler 实例具有自定义,请在规划 NetScaler 升级之前参阅 自定义 NetScaler 配置的升级注意事项 。
升级:您可以将易受攻击的 NetScaler 实例升级到具有修复程序的版本和版本。 此详细信息可在补救措施栏中看到。 要升级,请选择实例,然后单击 继续升级工作流程。 在升级工作流程中,存在漏洞的 NetScaler 会自动填充为目标 NetScaler。
笔记
版本 12.0、11.0、10.5 及更低版本已达到使用寿命终止 (EOL)。 如果您的 NetScaler 实例正在上述任何版本上运行,请升级到受支持的版本。
升级工作流程开始。 有关如何使用 NetScaler 控制台升级 NetScaler 实例的更多信息,请参阅 使用作业升级 NetScaler 实例。
笔记
您想要升级到哪个版本和构建版本由您自行决定。 请参阅补救措施栏下的建议,了解哪些版本和构建具有安全修复。 并相应地选择尚未达到使用寿命的受支持的版本和构建。
文件完整性监控
此选项卡显示 NetScaler 实例的文件完整性监控扫描结果,这些实例对原始 NetScaler 构建文件有任何更改或添加。
以下示例显示了两个受影响的 NetScaler 实例的扫描结果,其中现有文件已被修改,并且新文件已被添加到原始构建文件中。
单击 现有文件已修改 和 新文件已添加 下的数字以查看详细信息。
扫描日志(仅适用于 CVE)
该选项卡显示最近五次 CVE 扫描的报告,其中包括默认系统扫描和按需用户启动的扫描。 您可以下载每次扫描的 CSV 和 PDF 格式的报告。 如果按需扫描正在进行中,您还可以看到完成状态。
CVE 存储库
此选项卡包含自 2019 年 12 月以来所有 CVE 的最新信息,以及以下详细信息:
- CVE ID
- 漏洞类型
- 出版日期
- 严重程度
- 补救措施
安全公告链接
立即扫描
您可以根据需要随时扫描实例。
单击 立即扫描 扫描影响您的 NetScaler 实例的 CVE。 扫描完成后,修改后的安全详细信息将出现在安全公告 GUI 中。
NetScaler 控制台需要几分钟才能完成扫描。
通知(仅适用于 CVE)
作为管理员,您会收到 Citrix Cloud 通知,其中告知您有多少 NetScaler 实例存在 CVE 漏洞。 要查看通知,请单击 NetScaler 控制台 GUI 右上角的铃铛图标。
免责声明:
请注意,NetScaler 文件完整性监控(“功能”)无法检测威胁行为者在针对相关环境时可能使用的所有技术、策略或程序(TTP)。 威胁行为者频繁更改 TTP 和基础设施,因此该功能对于某些威胁的取证价值可能有限甚至没有。 强烈建议您聘请经验丰富的法医调查员来评估您的环境是否存在任何可能的威胁。
本文件及其所含信息按原样提供。 Cloud Software Group, Inc. 对本文档或其内容不作任何明示或暗示的保证或陈述,包括但不限于本文档或其中包含的信息无错误或满足任何适销性或适用于特定用途的条件。