Citrix社NetScalerの脆弱性(CTX232161, CTX234492及びCTX230238, CTX230612)に対する注意のお知らせ
クラウド/サーバー
2018年10月12日 (2022年11月22日:更新)
平素よりSmart Data Platform (以下SDPF)をご利用いただき誠にありがとうございます。
この度、ロードバランサー(NetScaler VPX)メニューで提供しているCitrix社のNetScalerに脆弱性情報(A.CTX232161 / B.CTX234492及びCTX230238 / C.CTX230612)が確認されました。
ECL1.0 並びにSDPFの共通基盤におきましては、当該問題の影響はございません。
SDPF ロードバランサー(NetScaler VPX)メニューをご利用されているお客さまにおかれましては、脆弱性の最新情報をご確認の上、必要に応じてご対応いただくことをお勧めいたします。
対象メニュー
SDPF ロードバランサー(NetScaler VPX)
対象バージョン
Citrix_NetScaler_VPX_12.0-53.13_Standard_Edition
Citrix_NetScaler_VPX_11.0-67.12_Standard_Edition
Citrix_NetScaler_VPX_10.5-57.7_Standard_Edition
A.CTX232161の脆弱性
本脆弱性の影響
リモート認証後のユーザがnsrootアカウントでルート権限コマンドが実行できる可能性があります。
例えば、Netscaler内の任意のファイルダウンロード/権限昇格/ディレクトリ移動、ルート権限を取得したNetscalerからターゲットユーザのブラウザで任意のスクリプトコードを実行できる等の可能性があります。
対応方法
管理インターフェース(SNIP)へのアクセスがセキュアな環境からのみ許可されているか確認をお願いたします。
NetScalerの設定では以下による対応が可能です。
必要に応じて、不要な管理インタフェースでの管理用通信は無効化し(1)、必要な管理インタフェースのみでアクセスできるIPアドレスを制限する(2)などの御利用をお勧めいたします。
全ての管理インタフェースで管理用通信を無効化すると、NetScalerへのログインが出来なくなりますので、ご注意願います。
(1)管理インターフェイス(SNIP)への管理用通信の無効化
※ ロードバランサーがクライアントからアクセスを受け付けるIPアドレス(VIP)への通信は対象外です
※ NetScalerへの設定は内部ネットワークなどセキュアな環境から行ってください
https://sdpf.ntt.com/static/2022/11/citrix-netscaler-vulnerability-disable-mgmt-jp.pdf
(2)管理インターフェイス(SNIP)へアクセス許可するIPアドレスの制限
https://sdpf.ntt.com/static/2022/11/citrix-netscaler-vulnerability-acl-jp.pdf
参考情報サイト(Citrix社)
https://support.citrix.com/article/CTX232161
B.CTX234492及びCTX230238の脆弱性
本脆弱性の影響
特定のRSA暗号鍵交換を使用したSSL通信を行なった場合、遠隔の第三者によって、TLS 暗号化通信データを解読される可能性があります。
対応方法
利用するCipherSuiteをPFS(DH/ECDHE)に限定してください。
上記を含まないCipherSuiteを使用しないでください。
NetScalerの設定では以下による対応が可能です。
脆弱性(CTX234492及びCTX230238)の対応方法(PDF)
https://sdpf.ntt.com/static/2022/11/CTX234492_CTX230238.pdf
参考情報サイト(Citrix社)
https://support.citrix.com/article/CTX234492
https://support.citrix.com/article/CTX230238
C.CTX230612の脆弱性
脆弱性詳細
NetScalerとrealserver間の認証にクライアント証明書を利用しており、かつ、TLS 接続でDHE鍵交換を使用している場合にTLSハンドシェイクを通してクリアテキストが漏洩する可能性があります。
対応方法
NetScalerとrealserver間の認証にクライアント証明書を利用している場合、以下いずれかの対応方法を実施
ください。
・DHEのCipher Suiteを利用しないでくたさい
・クライアント証書書の利用自体を中止してください。
※クライアント証明書を利用していない場合は本脆弱性への対処は不要です。
NetScalerの設定では以下による対応が可能です。
脆弱性(CTX230612)の対応方法(PDF)
https://sdpf.ntt.com/static/2022/11/CTX230612.pdf
参考情報サイト(Citrix社)
https://support.citrix.com/article/CTX230612
今後ともお客さまにとってより良いサービスをご提供できるよう努めてまいりますので、引き続きご愛顧下さいますよう何卒宜しくお願い致します。