Citrix社NetScalerの脆弱性(CTX276688)に対する注意のお知らせ
クラウド/サーバー
2020年7月17日 (2021年4月29日:更新)
平素はNTTコミュニケーションズSmart Data Platformをご利用いただき誠にありがとうございます。
この度、Smart Data Platformのロードバランサー(NetScaler VPX)メニューで提供しているCitrix社のNetScalerに脆弱性(CTX276688)が確認されました。ロードバランサー(NetScaler VPX)メニューをご利用されているお客さまにおかれましては、脆弱性の最新情報をご確認の上、必要に応じてご対応いただくことをお勧めいたします。
脆弱性情報
https://support.citrix.com/article/CTX276688
対象メニュー
ロードバランサー(NetScaler VPX)
対象バージョン
Citrix_NetScaler_VPX_12.1-55.18_Standard_Edition
Citrix_NetScaler_VPX_12.1-52.15_Standard_Edition
Citrix_NetScaler_VPX_12.0-53.13_Standard_Edition
Citrix_NetScaler_VPX_11.0-67.12_Standard_Edition
Citrix_NetScaler_VPX_10.5-57.7_Standard_Edition
対応方法
1.管理インターフェイス(SNIP)へのアクセスがセキュアな環境からのみ許可されているかご確認をお願いたします。
NetScalerの設定では以下による対応が可能です。
必要に応じて、不要な管理インターフェイスでの管理用通信は無効化し(1-1)、必要な管理インターフェイスのみでアクセスできるIPアドレスを制限する
(1-2)などのご利用をお勧めいたします。全ての管理インターフェイスで管理用通信を無効化すると、NetScalerへのログインが出来なくなりますので、
ご注意願います。
1-1.管理インターフェイス(SNIP)への管理用通信の無効化
※ ロードバランサーがクライアントからアクセスを受け付けるIPアドレス(VIP)への通信は対象外です
※ NetScalerへの設定は内部ネットワークなどセキュアな環境から行ってください
https://ecl.ntt.com/files/loadbalancer/20170927/citrix-netscaler-vulnerability-disable-mgmt-jp.pdf
1-2.管理インターフェイス(SNIP)へアクセス許可するIPアドレスの制限
https://ecl.ntt.com/files/loadbalancer/20170927/citrix-netscaler-vulnerability-acl-jp.pdf
2.上記に加えて、弊社動作確認済機能ではございませんがCitrix(旧称:NetScaler) Gatewayを12.0-53.13_Standard_Editionでご利用されている場合、こちらの手順を参考にCitrix_NetScaler_VPX_12.1-55.18_Standard_Editionへ移行するか、該当機能のご利用を中止してください。Citrix Gatewayのご利用有無の確認及びご利用中止手順は下記をご確認ください。なお、GUI/CLIへのアクセス方法はこちらをご確認ください。
======
<GUI>
ダッシュボードよりSystem>Setting>Configure Basic Featuresをクリックし、Citrix/NetScaler Gatewayのチェックボックスにチェックが入っている場合、ご利用いただいている状況です。チェックを外すことでご利用を中止することが可能です。
<CLI>
下記のコマンドを入力し、SSL VPNがONである場合、ご利用いただいている状況です。
>show ns feature
ONである場合、下記のコマンドを入力することでご利用を中止することが可能です。
>disable ns feature sslvpn
======
今後ともお客さまにとってより良いサービスをご提供できるよう努めてまいりますので、引き続きご愛顧下さいますよう何卒宜しくお願い致します。