プラチナWebエンジニアリング
プラットフォーム脆弱性自動診断ツール(OpenVAS)を用いて、脆弱性情報データベースに照らしてwebサイトの脆弱性を診断します。クレデンシャルなしの自動診断、自動レポート(英文)を実施する場合は概ね1回2万円で承ります。
ご希望の診断・報告内容に基いてプレ診断を行ってお見積りいたしますので、お見積りをご依頼いただく際に、診断するサイトのIPアドレスまたはFQDNをお知らせください。
プレ診断は平日10時から16時の間に実施いたします。毎秒約10回のアクセスが1時間程度継続いたします。
なお、脆弱性診断はIPS/IDS/WAFやその他の監視ツールから攻撃と判断されることがあります。事前にサイト管理者にご連絡、ご相談の上、了解をいただいた上でお申し込みください。
プレ診断の結果は、お見積書に同意いただいてご発注中いただいた後に、請求書とともに送付させていただきます。
プラットフォーム脆弱性自動診断ツール(OpenVAS)を用いて、脆弱性情報データベースに照らしてwebサイトの脆弱性を定期的・継続的に診断します。クレデンシャルなしの自動診断、自動レポート(英文)を実施する場合は、毎週1回の診断・報告で概ね1か月4万円で承ります。
ご希望の診断・報告内容に基き、プレ診断を行ってお見積りいたしますので、お見積りをご依頼いただく際に、診断するサイトのIPアドレスまたはFQDNをお知らせください。
プレ診断は平日10時から16時の間に実施いたします。毎秒約10回のアクセスが1時間程度継続いたします。
なお、脆弱性診断はIPS/IDS/WAFや脆弱性監視ツールから攻撃と判断されることがあります。事前にサイト管理者にご連絡、ご相談の上、了解をいただいた上でお申し込みください。
OpenVAS脆弱性スキャン – Platinum Web Engineering (pgw.jp)に紹介したように、オープンソースの自動脆弱性診断ツールを利用することで、あまりコストをかけずに脆弱性診断をすることができる。
但し、脆弱性診断はサイバー攻撃に類似したアクセスをすることになるので、事前に以下の点に留意し、関連するシステムの技術担当者への了解を得て実施日時を調整するなどの準備が必要となる。
・デフォルトの診断条件で毎秒10回程度のアクセスが1時間程度継続する
・ログ・メッセージとアラート・メッセージが表示されることがある
・ファイアウォールおよび侵入検知および防止システムにアラートが表示され、また、侵入防御対策がトリガーされる場合がある
・ターゲットシステムやスキャンされたネットワークの性能が不十分な場合、サービス拒否 (DoS) 攻撃に似た状況に陥る可能性がある
・アプリケーションが脆弱な場合、障害やクラッシュを引き起こす可能性がある
いずれも実際にサイバー攻撃された場合に起こる事象なので、実際に攻撃を受ける前に予め知っておくことは、脆弱性対策の第一歩となる。
米国国立標準技術研究所 (NIST) は、米国脆弱性情報データベースNational Vulnerability Database (NVD)
を運営している。NVDは脆弱性情報の詳細情報を提供するためのデータリポジトリで、自動処理のための標準化されたデータが提供されている。
OpenVASのレポートには、共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)番号、共通プラットフォーム一覧CPE(Common Platform Enumeration)番号、共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)値、が診断の結果として記載される。
CVEで命名された脆弱性情報の詳細情報をNVDで提供する分担になっており、レポートに記載されたCVE番号のリンクから具体的な脆弱性の情報を検索することができる。
JPCERT/CCと情報処理推進機構(IPA)が共同で管理している脆弱性情報データベース(JVN iPedia)は、日本国内製品、日本に流通している製品を対象範囲に含み、内容も日本の一般向けとして公開されている。
JVN iPediaにも登録されている脆弱性については、OpenVASのレポートのCVE番号を脆弱性情報データベース(JVN iPedia)で検索することで、日本語での情報を得ることができる。
(脆弱性対策情報データベースJVN iPediaの登録状況 [2022年第1四半期(1月~3月)]:IPA 独立行政法人 情報処理推進機構)が公開されている。
この3カ月で新たに3,780件が登録され、累計では141,482件となっている。
内容は多い順に、クロスサイトスクリプティング、 領域外メモリへの書き出し、不適切な権限管理、不適切な入力確認、解放済みメモリの使用、となっている。
ソフトウェア製品の既知となった脆弱性による被害をふせぐため、脆弱性が解消されている製品へのバージョンアップやアップデートを行う必要がある。
本レポートでは、主に製品開発者に注意が呼びかけられているが、Webサイトの運営者から製品開発者へ働きかけることも必要かもしれない。
Webサイトの運営者としては、自サイトの脆弱性診断を継続的に行って、新たな脆弱性に該当するソフトウェアについては製品開発者に確認するなどの営みが望まれる。
情報処理推進機構(IPA)「見える化」ツール&データベースで、脆弱性の理解・対策に関する情報が入手できる。
ウェブサイトの運用上特に重要な、お知らせ、注目すべき脆弱性、脆弱性の新着情報は脆弱性対策情報データベース JVN iPediaから入手できることも紹介されている。例えば、2022年2月10日 新規のお知らせでは、「セキュリティ強化に伴うTLS 1.0/1.1無効化のお知らせ」があり、これはほぼ全てのウェブサイトで対応が必要な事項となっている。
新着情報は多岐に亘っていて、自サイトで対応が必要なものは必ずしも多くない。それでも時折、自サイトも対象になる危険な脆弱性が報告される。ここに報告されている脆弱性が自サイトに該当するかは定期的に、できれば常時、確認し、重大なものには対応する必要がある。 報告されている脆弱性が自サイトに該当するかの確認には診断ツールやサービスを利用することができる。「ウェブサイト脆弱性診断」で検索すれば多くの情報が得られる。脆弱性の「常時確認」をするのであればオープンソースの自動診断ツールもあるので、その利用を検討する。
脆弱性診断ツールはweb・スマホなどのアプリケーションの脆弱性を診断する「アプリケーション診断」ツールと、それを実行するサーバやネットワーク機器・OSやミドルの脆弱性を診断する「プラットフォーム診断」ツールとに大別される。以下は、無料で利用可能な「プラットフォーム診断」ツールの例を挙げる。
Nessus: オープンソースで開発されていた脆弱性スキャナ。有料化されているが、脆弱性に関する学習目的での利用に無料版(Nessus® Essentials )が提供されている。
OpenVAS: 「Nessus(ネサス)」から派生した製品で、コミュニティ版(Greenbone Enterprise TRIAL)は無料で提供されている。無料で利用可能な脆弱情報配信(Greenbone Community Feed)にサービスレベルの保証はないが、2022年4月現在、用途・利用期間に特に制限はない。 14日間は有料版の脆弱情報配信(Greenbone Enterprise Feed)が利用できる。その他、debian系LINUX、Redhat系LINUXに導入可能。
Vuls: MyJVN API を利用して「脆弱性対策情報データベース JVN iPedia」を検索し、日本語のレポートを確認できる。
但し、自動診断ツールの結果は自サイトに影響しないケースも、誤検知もある。自動診断ツールで新たに発見された脆弱性の自サイトへの影響度合いや、対策の必須度、緊急度などは、自サイトの構築ベンダ、あるいは運用ベンダに相談することになる。
スキャンターゲットとスキャン内容の設定は、ログイン後にメニューのScans>New Taskとする。ターゲットは脆弱性練習台のホストowaspbwa。
ScanTargetは、項目の右端新規マークから設定する。
それぞれsaveする。
スキャン開始は、以下のtaskリストからowaspbwaを選択し、▷マークをクリックして開始する。
statusマークがNew>Requested>0%と変遷してスキャン開始が確認できる。
ローカルのホストでもしばらくかかるので、何もしないでいるとログイン画面に戻ってしまう。ログアウトしてもスキャンは継続しているので、終わったころに再度ログインするくらいでちょうど。
レポート確認は、メニューのScans>Reportsとする。
owaspbwaを選択しDate列の青字日付をクリックすると、概要が表示される。
Resultsタブをクリックすると脆弱性のリストが深刻度順に表示される。
黒メニュー下のアイコン列のダウンロードボタンをクリックすると、結果レポートをダウンロードできる。
PDF出力したので、以下のようなレポートが得られる。
最初の項目は以下のように記載されている。
OpenVASをRed Hat LINUXに導入する手順が紹介されていた。多数紹介されている中では新しく、最もシンプルだった。
Hyper-V上にAlma LINUX8.5をサーバとして構築して、以下の手順で実際に導入した。 4月24日、Version 21.4.3。
# sudo dnf update -y
# sudo dnf install wget -y
# sudo dnf config-manager –set-enabled powertools
# sudo dnf install epel-release.noarch -y
# sudo dnf update -y
# wget -q -O – https://updates.atomicorp.com/installers/atomic | sudo sh
# sudo dnf install gvm -y
# sudo sed -i ‘s/=enforcing/=disabled/’ /etc/selinux/config
# reboot
# gvm-setup
紹介されている手順はここまで。
このサーバにhttpsでアクセスするとOpenVASのダッシュボードが利用できる。
但し、実際には追加で以下の手順が必要だった。OpenVASを利用しなれている方には常識なのかもしれない。
# mkdir /var/run/gvm
# chown gvm:gvm /var/run/gvm
# sudo -Hiu gvm gvmd –get-users –verbose
admin xxx6e69-d013-478d-abb8-062cc7f3yyyy
# sudo -Hiu gvm gvmd –modify-setting 78eceaec-3385-11ea-b237-28d24461215b –value xxxx6e69-d013-478d-abb8-062cc7f3yyyy
# sudo -Hiu gvm gvmd –get-scanners
zzzz9003-5fc2-4037-a479-93b44021zzzz OpenVAS /run/ospd/ospd-openvas.sock 0 OpenVAS Default
最後のOpenVAS Defaultがタスクを構成する時に選択するスキャナ名になっている。
運用開始後、脆弱性情報の現行化には以下コマンドを実施する。
# sudo -Hiu gvm greenbone-feed-sync –type GVMD_DATA
# sudo -Hiu gvm greenbone-feed-sync –type SCAP
# sudo -Hiu gvm greenbone-feed-sync –type CERT
(これはSCAP終了後に実施する)
Proudly powered by WordPress | テーマ: Baskerville 2 by Anders Noren