Citrix社NetScalerの脆弱性(CVE-2019-19781)に対する注意のお知らせ
クラウド/サーバー
2019年12月25日 (2021年4月29日:更新)
平素はNTTコミュニケーションズSmart Data Platformをご利用いただき誠にありがとうございます。
この度、Smart Data Platform(以降、Smart Data Platform)のロードバランサー(NetScaler VPX)メニューで提供しているCitrix社のNetScalerに任意のコードが実行される脆弱性(CVE-2019-19781)が確認されました。ロードバランサー(NetScaler VPX)メニューをご利用されているお客さまにおかれましては、脆弱性の最新情報をご確認の上、必要に応じてご対応いただくことをお勧めいたします。
脆弱性情報
https://support.citrix.com/article/CTX267027
対象メニュー
ロードバランサー(NetScaler VPX)
対象バージョン
Citrix_NetScaler_VPX_12.1-52.15_Standard_Edition
Citrix_NetScaler_VPX_12.0-53.13_Standard_Edition
Citrix_NetScaler_VPX_11.0-67.12_Standard_Edition
Citrix_NetScaler_VPX_10.5-57.7_Standard_Edition
対応方法
1.管理インターフェイス(SNIP)へのアクセスがセキュアな環境からのみ許可されているかご確認をお願いたします。
NetScalerの設定では以下による対応が可能です。
必要に応じて、不要な管理インターフェイスでの管理用通信は無効化し(1-1)、必要な管理インターフェイスのみでアクセスできるIPアドレスを制限する(1-2)などのご利用をお勧めいたします。全ての管理インターフェイスで管理用通信を無効化すると、NetScalerへのログインが出来なくなりますので、ご注意願います。
1-1.管理インターフェイス(SNIP)への管理用通信の無効化
※ ロードバランサーがクライアントからアクセスを受け付けるIPアドレス(VIP)への通信は対象外です
※ NetScalerへの設定は内部ネットワークなどセキュアな環境から行ってください
https://ecl.ntt.com/files/loadbalancer/20170927/citrix-netscaler-vulnerability-disable-mgmt-jp.pdf
1-2.管理インターフェイス(SNIP)へアクセス許可するIPアドレスの制限
https://ecl.ntt.com/files/loadbalancer/20170927/citrix-netscaler-vulnerability-acl-jp.pdf
2.上記に加えて、弊社動作確認済機能ではございませんがCitrix(旧称:NetScaler) Gatewayをご利用されている場合、CLI経由で以下コマンドにてレスポンダーのアクションとポリシーの作成ください。
※CLIへのアクセス方法は以下をご確認ください。
===========-
enable ns feature responder
add responder action respondwith403 respondwith “\”HTTP/1.1 403 Forbidden\r\n\r\n\””
add responder policy ctx267027 “HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\”/vpns/\”) && (!CLIENT.SSLVPN.IS_SSLVPN || HTTP.REQ.URL.DECODE_USING_TEXT_MODE.CONTAINS(\”/../\”))” respondwith403
bind responder global ctx267027 1 END -type REQ_OVERRIDE
save config
===========
今後ともお客さまにとってより良いサービスをご提供できるよう努めてまいりますので、引き続きご愛顧下さいますよう何卒宜しくお願い致します。