OpenVASによる脆弱性プレ診断事例

2022年5月25日に以下の条件でインストールしたサイトを脆弱性診断する。

・環境：　AWS東京リージョン

・OS:　AlmaLinux8.6　（AMIからインスタンス作成）

・Webサーバ：　Apache httpd 2.4.37(AlmaLinux)

・PHP:　php-fpm 7.4.19

・アプリ：　Wordpress 6.0

動作確認後にプレ診断実施した結果、以下の脆弱性候補が検出された。

１．The web server has the following HTTP methods enabled: TRACE

CVSS:　5.8(Midium)

Apacheではデフォルトで「HTTP TRACEメソッド」有効なことによる。

２．The remote SSH server supports the following weak KEX algorithm(s):

diffie-hellman-group-exchange-sha1 | Using SHA-1

CVSS:　5.3(Midium)

アルゴリズムの危殆化のため無効となったことによる。

３．The remote SSH server supports the following weak client-to-server encryption algorithm(s):

aes128-cbc／aes256-cbc

CVSS:　4.3(Midium)

アルゴリズムの危殆化のため無効となったことによる。

４．It was detected that the host implements RFC1323/RFC7323.

CVSS:　2.6(Low)

TCPタイムスタンプ自体はデフォルトでON。環境によって無効化が推奨される。

最新のリリースで構成していても、サービス構築後には脆弱性診断の実施が有効である例となっている。

2022年6月16日 0

動画コンテンツWebサイト構築

ストリームコンテンツを埋め込み再生するWebサイトとすることで、ストリーミングのトラヒックに圧迫される心配なく動画コンテンツを配信することができる。

動画コンテンツは、ドメイン限定で埋め込みし、ダウンロード不許可とする設定をすることで、動画コンテンツのプライバシー保護が可能になる。

2022年6月7日 0

AWSのVPCスタートアップWebサイト

情報提供を目的とし、高可用の要求が少ないWebサイトであれば、AWSのオンプレミス・サイト・モデルVPC – Platinum Web Engineering (pgw.jp)を縮退した構成でスタートすることができる。

最大で毎秒数回のアクセスを想定したWordpressのサイトであれば、12カ月無料のプランで十分である。

2022年6月6日 0

AWSのオンプレミス・サイト・モデルVPC

オンプレミスのWebサイトでは、FWでDMZと高機密エリアを構成し、それぞれを物理サーバで冗長化して構成する（下図）。

DMZにはリバースプロキシが置かれており、DMZから高気密エリアへのアクセスはリバースプロキシ経由のWebポートだけを許可する設定とする。

これによりDMZに侵入された場合でも、高気密エリアのデータベースや他のサービスは保護される。

AWSの仮想プライベートクラウド（VPC）を利用することで、同様のシステムモデルが実現できる（冒頭の図）。

VPCでは、パブリックとプライベートの両サブネットをゾーンに分離・複製し、それぞれのセキュリティグループの設定で、オンプレミスサイトの機密構成を実現する。

AWSのロードバランサはプロキシ機能を有しており、NAT（本図では省略）と合わせて冗長化構成を実現する。

プライベートサブネットのサーバの構築・運用のためのアクセスは踏み台サーバを構築して利用する。

これは常時は停止しておいて、セキュリティ上の問題を減ずる。

VPCを利用することで、オンプレミスからのクラウド移行が容易になり、スケールアップ、スケールアウト、ディザスタリカバリ、等のメリットを享受することができる。

データベースはRDSを利用することで運用管理負担が軽減できる。

AWSには月3万円前後の費用が見込まれる。

2022年6月6日 0

脆弱性とリスク管理

Japan Vulnerability Notes／脆弱性レポート一覧 (jvn.jp)では、日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報が提供されている。

情報システム全般の脆弱性関連情報なので多岐に亘るが、Webサイトの安全な運用に必要な脆弱性情報も提供されており、該当する場合には対応を検討する。これはWebサイト運用におけるリスク管理の基本と言える。

Webサイトを構成するプラットフォームの脆弱性は、脆弱性のある機能を実際に使っていて、サイバー攻撃の手段がある場合にセキュリティ上の脅威となる。顕在化した脆弱性によるセキュリティ上の脅威が明らかになった場合には、総合的な視野からのリスク管理が求められる。

該当する脆弱性をついたサイバー攻撃により、財産的価値のある情報の漏洩、個人情報の漏洩、サービス停止など大きな被害が想定される場合には緊急の対策を検討する。緊急ではない場合でも、対策に要するコスト、期間を見積り、想定される被害とのトレードオフを勘案して、対策時期、対策範囲を判断することになる。

脆弱性レポートの見落としなどで潜在化した脆弱性は脆弱性診断で顕在化できることがある。脆弱性診断はリスク管理の一コマではあるが、被害の発生を防ぐ効果は大きい。新たにWebサイトをリリースする際には必須であり、その後もできるだけ頻繁に実施を継続することが望ましい。

2022年5月10日 0

ウェブサイトの攻撃兆候検出

情報処理推進機構（IPA）がウェブサイトの攻撃兆候検出ツール iLogScannerを無償提供している。 iLogScannerにウェブやsshなどのアクセスログを入力すると、サイバー攻撃と思われる痕跡を検出し、一部の痕跡については攻撃が成功したか否かを判定してくれる。サイトがサイバー攻撃を受けていないか、その兆候を定期的に確認することができる。本サイトで紹介している脆弱性プレ診断は、このツールではサイバー攻撃の兆候として検知され、結果レポートが以下のように報告される。

iLogScanner – 解析結果レポート

解析結果

終了ステータス：完了
解析日時：2022/05/06 14:45
解析対象ファイル：ssl_access_log
解析指定日付： –
解析対象日付：2022/05/06 – 2022/05/06
解析レベル：詳細
検出数　　：
計 1205 件

検出したWebサイトへの攻撃について、下記に詳細を記述します。

検出対象脆弱性	攻撃があったと思われる件数	攻撃が成功した可能性の高い件数
SQLインジェクション	304	0
OSコマンドインジェクション	0	–
ディレクトリトラバーサル	352	–
クロスサイトスクリプティング	538	–
その他	0	–

詳細レベルで検出したWebサイトへの攻撃について、下記に詳細を記述します。

検出対象項目	攻撃があったと思われる件数
同一IPアドレスからの攻撃の可能性	11
アクセスログに記録されないSQLインジェクションの可能性	0
Webサーバの設定不備を狙った攻撃の可能性
PUTメソッドの設定不備	0
FrontPage Server Extensionsの設定不備	0
Tomcatの設定不備	0

解析結果ログ

#解析結果ログの見方 #—————————————————————- #[ログファイル名] #[行番号] [脆弱性種別] [攻撃が成功した可能性が高い] [該当するアクセスログ] [シグネチャ対応コード] #—————————————————————- #※ 各項目はタブ区切りになります #※ 攻撃が成功した可能性が高い場合、「●」がつきます #以下、解析結果ログ ssl_access_log-20220424 12846 クロスサイトスクリプティング – … – – [06/May/2022:04:36:57 +0000] “GET /Web/SA2/ScriptList.do?gui_pagenotableData=><script>alert(document.cookie)</script> HTTP/1.1” 404 196 B958

2022年5月6日 0

脆弱性プレ診断

プラットフォーム脆弱性自動診断ツール（OpenVAS）を用いて、脆弱性情報データベースに照らしてwebサイトの脆弱性を診断します。クレデンシャルなしの自動診断、自動レポート（英文）を実施する場合は概ね1回2万円で承ります。

ご希望の診断・報告内容に基いてプレ診断を行ってお見積りいたしますので、お見積りをご依頼いただく際に、診断するサイトのIPアドレスまたはFQDNをお知らせください。

プレ診断は平日10時から16時の間に実施いたします。毎秒約10回のアクセスが1時間程度継続いたします。

なお、脆弱性診断はIPS/IDS/WAFやその他の監視ツールから攻撃と判断されることがあります。事前にサイト管理者にご連絡、ご相談の上、了解をいただいた上でお申し込みください。

プレ診断の結果は、お見積書に同意いただいてご発注中いただいた後に、請求書とともに送付させていただきます。

2022年4月28日 0

脆弱性継続診断

プラットフォーム脆弱性自動診断ツール（OpenVAS）を用いて、脆弱性情報データベースに照らしてwebサイトの脆弱性を定期的・継続的に診断します。クレデンシャルなしの自動診断、自動レポート（英文）を実施する場合は、毎週1回の診断・報告で概ね1か月4万円で承ります。

ご希望の診断・報告内容に基き、プレ診断を行ってお見積りいたしますので、お見積りをご依頼いただく際に、診断するサイトのIPアドレスまたはFQDNをお知らせください。

プレ診断は平日10時から16時の間に実施いたします。毎秒約10回のアクセスが1時間程度継続いたします。

なお、脆弱性診断はIPS/IDS/WAFや脆弱性監視ツールから攻撃と判断されることがあります。事前にサイト管理者にご連絡、ご相談の上、了解をいただいた上でお申し込みください。

2022年4月28日 0

脆弱性診断の前に

OpenVAS脆弱性スキャン – Platinum Web Engineering (pgw.jp)に紹介したように、オープンソースの自動脆弱性診断ツールを利用することで、あまりコストをかけずに脆弱性診断をすることができる。

但し、脆弱性診断はサイバー攻撃に類似したアクセスをすることになるので、事前に以下の点に留意し、関連するシステムの技術担当者への了解を得て実施日時を調整するなどの準備が必要となる。

・デフォルトの診断条件で毎秒10回程度のアクセスが1時間程度継続する

・ログ・メッセージとアラート・メッセージが表示されることがある

・ファイアウォールおよび侵入検知および防止システムにアラートが表示され、また、侵入防御対策がトリガーされる場合がある

・ターゲットシステムやスキャンされたネットワークの性能が不十分な場合、サービス拒否 (DoS) 攻撃に似た状況に陥る可能性がある

・アプリケーションが脆弱な場合、障害やクラッシュを引き起こす可能性がある

いずれも実際にサイバー攻撃された場合に起こる事象なので、実際に攻撃を受ける前に予め知っておくことは、脆弱性対策の第一歩となる。

2022年4月27日 0

OpenVASのレポート

米国国立標準技術研究所 (NIST) は、米国脆弱性情報データベースNational Vulnerability Database (NVD)
を運営している。NVDは脆弱性情報の詳細情報を提供するためのデータリポジトリで、自動処理のための標準化されたデータが提供されている。

OpenVASのレポートには、共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)番号、共通プラットフォーム一覧CPE(Common Platform Enumeration)番号、共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)値、が診断の結果として記載される。

CVEで命名された脆弱性情報の詳細情報をNVDで提供する分担になっており、レポートに記載されたCVE番号のリンクから具体的な脆弱性の情報を検索することができる。

JPCERT/CCと情報処理推進機構（IPA）が共同で管理している脆弱性情報データベース（JVN iPedia）は、日本国内製品、日本に流通している製品を対象範囲に含み、内容も日本の一般向けとして公開されている。

JVN iPediaにも登録されている脆弱性については、OpenVASのレポートのCVE番号を脆弱性情報データベース（JVN iPedia）で検索することで、日本語での情報を得ることができる。

2022年4月26日 0

投稿者: tak0527