En esta página, se proporciona una descripción general de la Detección rápida de vulnerabilidades, que incluye lo siguiente:
- Los objetivos del análisis que admite la Detección rápida de vulnerabilidades
- Los tipos de análisis que realiza la Detección rápida de vulnerabilidades
- Los tipos de vulnerabilidades (hallazgos del análisis) que detecta la Detección rápida de vulnerabilidades
En esta página, también se incluyen algunas prácticas recomendadas para probar los análisis de Detección rápida de vulnerabilidades.
Descripción general
Rapid Vulnerability Detection, un servicio integrado de Security Command Center Premium, es un escáner de redes y aplicaciones web sin configuración que analiza de forma activa los extremos públicos para detectar vulnerabilidades que tienen una alta probabilidad de ser explotadas, como interfaces de usuario de administrador expuestas, instalaciones de software incompletas y credenciales débiles. El servicio descubre de forma automática extremos de red, protocolos, puertos abiertos, servicios de red y paquetes de software instalados.
Los hallazgos de la Detección rápida de vulnerabilidades son advertencias tempranas de vulnerabilidades que recomendamos que corrijas de inmediato. Puedes ver los resultados en Security Command Center.
Destinos de análisis admitidos
La Detección rápida de vulnerabilidades admite los siguientes recursos:
- Compute Engine
- La Detección rápida de vulnerabilidades solo admite VMs que tienen una dirección IP pública. Las VM que están detrás de un firewall o que no tienen una dirección IP pública se excluyen de los análisis.
- Cloud Load Balancing
- La Detección rápida de vulnerabilidades solo admite balanceadores de cargas externos.
- Entrada de Google Kubernetes Engine
- Cloud Run
- La Detección rápida de vulnerabilidades analiza los dominios predeterminados que Cloud Run proporciona para tus aplicaciones o los dominios personalizados configurados para los servicios de Cloud Run detrás de los balanceadores de cargas externos. Los dominios personalizados que usan asignaciones de dominios integradas no son compatibles. Sin embargo, los dominios predeterminados siempre están disponibles, incluso cuando se usa la asignación de dominios.
- App Engine
- La Detección rápida de vulnerabilidades analiza solo los dominios predeterminados que App Engine proporciona para tus aplicaciones. No se admiten los dominios personalizados. Sin embargo, los dominios predeterminados siempre están disponibles, incluso cuando se usan dominios personalizados.
Análisis
La Detección rápida de vulnerabilidades ejecuta análisis administrados que detectan vulnerabilidades conocidas, que son vulnerabilidades conocidas que se pueden aprovechar para obtener acceso arbitrario a los datos y permitir la ejecución remota de código. Estas vulnerabilidades incluyen credenciales débiles, instalaciones de software incompletas y, además, interfaces de usuario de administrador expuestas.
Cuando habilitas el servicio, Security Command Center configura y administra de forma automática los análisis. Los equipos de seguridad no necesitan proporcionar URL de destino ni iniciar análisis de forma manual. La Detección rápida de vulnerabilidades usa Cloud Asset Inventory para recuperar información sobre VMs y aplicaciones nuevas en tus proyectos y ejecuta análisis una vez a la semana para encontrar extremos públicos y detectar vulnerabilidades. El usuario-agente que ejecuta la Detección rápida de vulnerabilidades se llama TsunamiSecurityScanner en el Explorador de registros.
La Detección rápida de vulnerabilidades analiza los destinos compatibles para puertos abiertos (HTTP, HTTPS, SSH, MySQL y otros) y evalúa los destinos de análisis para obtener más información sobre las aplicaciones web instaladas y los servicios de red expuestos. Debido a que la Detección rápida de vulnerabilidades realiza varios análisis en los extremos públicos y usa “huellas digitales” para identificar los servicios conocidos, las vulnerabilidades de alto riesgo y gravedad alta se informan con una tasa mínima de falsos positivos.
Para obtener más información sobre los recursos de destino de análisis compatibles con la Detección rápida de vulnerabilidades, consulta Destinos de análisis admitidos.
Resultados del análisis y soluciones
En la siguiente tabla, se enumeran los tipos de hallazgos de la Detección rápida de vulnerabilidades y los pasos sugeridos para solucionarlos.
Los análisis de Detección rápida de vulnerabilidades identifican los siguientes tipos de hallazgos.
Tipo de resultado | Descripción del resultado | Los 10 códigos principales de OWASP |
---|---|---|
Hallazgos de credenciales débiles | ||
WEAK_CREDENTIALS
|
Este detector busca credenciales débiles con métodos de fuerza bruta ncrap. Servicios compatibles: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Solución: Aplica una política de contraseñas segura. Crea credenciales únicas para tus servicios y evita usar palabras del diccionario en las contraseñas. |
2021 A07 2017 A2 |
Hallazgos de la interfaz expuestos | ||
ELASTICSEARCH_API_EXPOSED
|
La
API de Elasticsearch permite que los emisores realicen consultas arbitrarias, escriban y ejecuten secuencias de comandos, y agreguen documentos adicionales al servicio.
Solución: Para quitar el acceso directo a la API de Elasticsearch, enruta las solicitudes a través de una aplicación o limita el acceso solo a los usuarios autenticados. Para obtener más información, consulta Configuración de seguridad en Elasticsearch. |
2021 A01, A05 2017 A5, A6 |
EXPOSED_GRAFANA_ENDPOINT
|
En Grafana 8.0.0 a 8.3.0, los usuarios pueden acceder sin autenticación a un extremo que tiene una vulnerabilidad de recorrido del directorio que permite a cualquier usuario leer cualquier archivo en el servidor sin autenticación. Para obtener más información, consulta CVE-2021-43798. Solución: Aplica un parche a Grafana o actualiza Grafana a una versión posterior. Para obtener más información, consulta Salto de directorio de Grafana. |
2021 A06, A07 2017 A2, A9 |
EXPOSED_METABASE
|
Las versiones x.40.0 a x.40.4 de Metabase, una plataforma de análisis de datos de código abierto, contienen una vulnerabilidad en la compatibilidad con mapas GeoJSON personalizados y la posible inclusión de archivos locales, incluidas las variables de entorno. Las URLs no se validaron antes de su carga. Para obtener más información, consulta CVE-2021-41277. Solución: Actualiza a las versiones de mantenimiento 0.40.5 o posteriores, o bien 1.40.5 o versiones posteriores. Para obtener más información, consulta La validación de URLs de GeoJSON puede exponer archivos de servidor y variables de entorno a usuarios no autorizados. |
2021 A06 2017 A3, A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
Este detector verifica si se exponen los extremos sensibles del actuador de las aplicaciones de
Spring Boot. Es posible que algunos de los extremos predeterminados, como /heapdump , expongan información sensible. Otros extremos, como /env , pueden conducir a la ejecución remota de código.
Actualmente, solo /heapdump está marcado.
Solución: Inhabilita el acceso a los extremos sensibles del actuador. Para obtener más información, consulta Protección de extremos HTTP. |
2021 A01, A05 2017 A5, A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
Este detector verifica si la
API de Hadoop Yarn ResourceManager, que controla los recursos de procesamiento y almacenamiento de un clúster de Hadoop, está expuesta y permite la ejecución de código no autenticado.
Solución: Usa listas de control de acceso con la API. |
2021 A01, A05 2017 A5, A6 |
JAVA_JMX_RMI_EXPOSED
|
Java Management Extension (JMX) permite la supervisión y el diagnóstico remotos de las aplicaciones de Java. La ejecución de JMX con el extremo de invocación de método remoto no protegido permite que cualquier usuario remoto cree un MBean javax.management.loading.MLet y lo use para crear MBeans nuevos a partir de URL arbitrarias.
Solución: Para configurar correctamente la supervisión remota, consulta Supervisión y administración con la tecnología JMX. |
2021 A01, A05 2017 A5, A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
Este detector verifica si se expone un Notebook de Jupyter no autenticado. Jupyter permite la ejecución remota de código por diseño en la máquina anfitrión.
Un notebook de Jupyter sin autenticar pone a la VM de hosting en riesgo de que se ejecute
código de forma remota.
Solución: Agrega la autenticación de token a tu servidor de notebooks de Jupyter o usa versiones más recientes de Jupyter Notebook que usen la autenticación con token de forma predeterminada. |
2021 A01, A05 2017 A5, A6 |
KUBERNETES_API_EXPOSED
|
La
API de Kubernetes está expuesta y los emisores no autenticados pueden acceder a ella. Esto permite la ejecución de código arbitrario en el clúster de Kubernetes.
Solución: Se requiere autenticación para todas las solicitudes a la API. Para obtener más información, consulta la guía de autenticación de la API de Kubernetes. |
2021 A01, A05 2017 A5, A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
Este detector verifica si una instalación de WordPress está sin terminar. Una instalación sin terminar de WordPress expone la página /wp-admin/install.php , que permite al atacante establecer la contraseña de administrador y, posiblemente, comprometer el sistema.
Solución: Completa la instalación de WordPress. |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
Este detector verifica si hay una instancia de Jenkins no autenticada a través del envío de un ping de sondeo al extremo /view/all/newJob como visitante anónimo. Una instancia autenticada de Jenkins muestra el formulario createItem , que permite la creación de trabajos arbitrarios que podrían llevar a la ejecución remota de código.
Solución: Sigue la guía de Jenkins sobre cómo administrar la seguridad para bloquear el acceso no autenticado. |
2021 A01, A05 2017 A5, A6 |
Hallazgos de software vulnerable | ||
APACHE_HTTPD_RCE
|
Se encontró una falla en el servidor HTTP 2.4.49 de Apache que permite a un atacante usar un ataque de salto de directorio para asignar URL a archivos fuera de la raíz del documento esperada y ver el origen de los archivos interpretados, como las secuencias de comandos de CGI. Se sabe que este problema se explota en el entorno. Este problema afecta a Apache 2.4.49 y 2.4.50, pero no a las versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta: Solución: Protege los archivos fuera de la raíz del documento mediante la configuración de la directiva "require all denied" en el servidor HTTP de Apache. |
2021 A01, A06 2017 A5, A9 |
APACHE_HTTPD_SSRF
|
Los atacantes pueden crear un URI para el servidor web Apache que haga que Solución: Actualiza el servidor HTTP de Apache a una versión posterior. |
2021 A06, A10 2017 A9 |
CONSUL_RCE
|
Los atacantes pueden ejecutar un código arbitrario en un servidor de Consul porque la instancia de Consul está configurada con
Después de la verificación, la Detección rápida de vulnerabilidades limpia el servicio y anula su registro mediante
el extremo de REST Solución: Establece enable-script-checks en |
2021 A05, A06 2017 A6, A9 |
DRUID_RCE
|
Apache Druid incluye la capacidad de ejecutar código JavaScript proporcionado por el usuario incorporado en varios tipos de solicitudes. Esta funcionalidad está diseñada para usarse en entornos de alta confianza y está inhabilitada de forma predeterminada. Sin embargo, en Druid 0.20.0 y versiones anteriores, es posible que un usuario autenticado envíe una solicitud especialmente diseñada que obliga a Druid a ejecutar un código JavaScript proporcionado por el usuario para esa solicitud, independientemente de la configuración del servidor. Esto se puede aprovechar para ejecutar código en la máquina de destino con los privilegios del proceso del servidor de Druid. Para obtener más información, consulta Detalles de CVE-2021-25646. Solución: Actualiza Apache Druid a una versión posterior. |
2021 A05, A06 2017 A6, A9 |
DRUPAL_RCE
Esta categoría incluye dos vulnerabilidades en Drupal. Varios hallazgos de este tipo pueden indicar más de una vulnerabilidad. |
Las versiones de
Dupal anteriores a 7.58, 8.x antes de 8.3.9, 8.4.x antes de 8.4.6 y 8.5.x antes de 8.5.1 son vulnerables a la ejecución de código remoto en las solicitudes de AJAX de la API de Form.
Solución: Actualiza a las versiones alternativas de Drupal. |
2021 A06 2017 A9 |
Las versiones 8.5.x de
Drupal anteriores a 8.5.11 y 8.6.x anteriores a 8.6.10 son vulnerables a la ejecución remota de código cuando se habilitan el módulo de servicio web RESTful o la API de JSON:. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante una solicitud POST personalizada.
Solución: Actualiza a las versiones alternativas de Drupal. |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Una vulnerabilidad en las versiones 1.11.0, 1.11.1 y 1.11.2 de
Apache Flink permite que los atacantes lean cualquier archivo en el sistema de archivos local de JobManager mediante la interfaz REST del proceso de JobManager. Se restringe el acceso a los archivos a los que se puede acceder mediante el proceso de JobManager.
Solución: Si las instancias de Flink están expuestas, actualiza a Flink 1.11.3 o 1.12.0. |
2021 A01, A05, A06 2017 A5, A6, A9 |
GITLAB_RCE
|
En las versiones 11.9 y posteriores de GitLab Community Edition (CE) y Enterprise Edition (EE), GitLab no valida de forma correcta los archivos de imagen que se pasan a un analizador de archivos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar comandos remotos. Solución: Actualiza a las versiones de GitLab CE o EE 13.10.3, 13.9.6 y 13.8.8 o una posterior. Para obtener más información, consulta Acción necesaria para los clientes autoadministrados en respuesta a CVE-2021-22205. |
2021 A06 2017 A9 |
GoCD_RCE
|
En GoCD 21.2.0 y versiones anteriores, existe un extremo al que se puede acceder sin autenticación. Este extremo tiene una vulnerabilidad en el recorrido del directorio que permite a un usuario leer cualquier archivo en el servidor sin autenticación. Solución: Actualiza a la versión 21.3.0 o una posterior. Para obtener más información, consulta Notas de la versión de GoCD 21.3.0. |
2021 A06, A07 2017 A2, A9 |
JENKINS_RCE
|
Las versiones 2.56 y anteriores de
Jenkins, 2.46.1 LTS y anteriores son vulnerables a la ejecución remota de código. Esta vulnerabilidad puede deberse a que un atacante no autenticado usa un objeto Java serializado malicioso.
Solución: Instala una versión alternativa de Jenkins. |
2021 A06, A08 2017 A8 y A9 |
JOOMLA_RCE
Esta categoría incluye dos vulnerabilidades en Joomla. Varios hallazgos de este tipo pueden indicar más de una vulnerabilidad. |
Las versiones 1.5.x, 2.x y 3.x de
Joomla anteriores a la 3.4.6 son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar con un encabezado elaborado que contiene objetos PHP serializados.
Solución: Instala una versión alternativa de Joomla. |
2021 A06, A08 2017 A8 y A9 |
Las versiones 3.0.0 a 3.4.6 de
Joomla son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar mediante el envío de una solicitud POST que contiene un objeto PHP serializado y elaborado.
Solución: Instala una versión alternativa de Joomla. |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
En Apache Log4j2 2.14.1 y versiones anteriores, las funciones de JNDI que se usan en configuraciones, mensajes de registro y parámetros no protegen contra el LDAP controlado por el atacante y otros extremos relacionados con JNDI. Para obtener más información, consulta CVE-2021-44228. Solución: Para obtener información sobre la solución, consulta Vulnerabilidades de seguridad de Apache Log4j. |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
MantisBT a través de la versión 2.3.0 permite el restablecimiento de contraseñas arbitrario y el acceso de administrador no autenticado proporcionando un valor confirm_hash vacío a verify.php .
Solución: Actualiza MantisBT a una versión más reciente o sigue las instrucciones de Mantis para aplicar una corrección de seguridad crítica. |
2021 A06 2017 A9 |
OGNL_RCE
|
Las instancias del servidor de Confluence y el centro de datos contienen una vulnerabilidad de inyección de OGNL que permite a un atacante no autenticado ejecutar un código arbitrario. Para obtener más información, consulta CVE-2021-26084. Solución: Para obtener información sobre la solución, consulta Inyección OGNL de Confluence Server Webwork: CVE-2021-26084. |
2021 A03 2017 A1 |
OPENAM_RCE
|
El servidor OpenAM 14.6.2 y las versiones anteriores, y el servidor de ForgeRock AM 6.5.3 y las versiones anteriores tienen una vulnerabilidad de deserialización de Java en el parámetro Solución: Actualiza a una versión más reciente. Para obtener información sobre la solución de ForgeRock, consulta el Aviso de seguridad de AM #202104. |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
Ciertas versiones del producto Oracle WebLogic Server del middleware de Oracle Fusion (componente: Console) contienen una vulnerabilidad, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad de fácil aprovechamiento permite que un atacante no autenticado con acceso a la red a través de HTTP ponga en riesgo un servidor de Oracle WebLogic. Los ataques exitosos de esta vulnerabilidad pueden provocar la apropiación de Oracle WebLogic Server. Para obtener más información, consulta CVE-2020-14882. Solución: Para obtener información sobre los parches, consulta Aviso de actualización de parche crítico de Oracle: octubre de 2020. |
2021 A06, A07 2017 A2, A9 |
PHPUNIT_RCE
|
Las versiones de
PHPUnit anteriores a 5.6.3 permiten la ejecución remota de código con una sola solicitud POST no autenticada.
Solución: Actualiza a las versiones PHPUnit más recientes. |
2021: A05 2017: A6 |
PHP_CGI_RCE
|
Las versiones de
PHP anteriores a 5.3.12 y 5.4.x anteriores a la 5.4.2, cuando se configuran como una secuencia de comandos de CGI, permiten la ejecución remota de código. El código vulnerable no maneja adecuadamente las cadenas de consulta que carecen de un carácter = (signo igual). Esto permite que los atacantes agreguen opciones de línea de comandos
que se ejecutan en el servidor.
Solución: Instala una versión de PHP alternativa. |
2021 A05, A06 2017 A6, A9 |
PORTAL_RCE
|
La deserialización de datos no confiables en versiones del
portal de Liferay anteriores a 7.2.1 CE GA2 permite que los atacantes remotos ejecuten código arbitrario a través de servicios web JSON.
Solución: Actualiza a las versiones más recientes del portal de Liferay. |
2021 A06, A08 2017 A8 y A9 |
REDIS_RCE
|
Si una instancia de Redis no requiere autenticación para ejecutar comandos de administrador, es posible que los atacantes puedan ejecutar un código arbitrario. Solución: Configura Redis para que requiera autenticación. |
2021 A01, A05 2017 A5, A6 |
SOLR_FILE_EXPOSED
|
La autenticación no está habilitada en Apache Solr, un servidor de búsqueda de código abierto. Cuando Apache Solr no requiere autenticación, un atacante puede elaborar directamente una solicitud para habilitar una configuración específica y, con el tiempo, implementar una falsificación de solicitudes del servidor (SSRF) o leer archivos arbitrarios. Solución: Actualiza a versiones alternativas de Apache Solr. |
2021 A07, A10 2017 A2 |
SOLR_RCE
|
Las versiones 5.0.0 a Apache Solr 8.3.1 de
Apache Solr son vulnerables a la ejecución de código remoto a través de VelocityResponseWriter si params.resource.loader.enabled se establece en true . Esto permite que los atacantes creen un parámetro
que contenga una plantilla de velocidad maliciosa.
Solución: Actualiza a versiones alternativas de Apache Solr. |
2021 A06 2017 A9 |
STRUTS_RCE
Esta categoría incluye tres vulnerabilidades en Apache Struts. Varios hallazgos de este tipo pueden indicar más de una vulnerabilidad. |
Las versiones de
Apache Struts anteriores a la 2.3.32 y 2.5.x anteriores a la 2.5.10.1 son vulnerables a la ejecución remota de código. La vulnerabilidad puede activarse cuando un atacante no autenticado proporciona un encabezado Content-Type elaborado.
Solución: Instala una versión alternativa de Apache Struts. |
2021 A06 2017 A9 |
El
complemento de REST de las versiones 2.1.1 a 2.3.x de Apache Struts anteriores a la 2.3.34 y 2.5.x anteriores a la 2.5.13 son vulnerables a la ejecución remota de código cuando se deserializan las cargas útiles de XML fabricadas.
Solución: Instala una versión alternativa de Apache Struts. |
2021 A06, A08 2017 A8 y A9 |
|
Apache Struts Las versiones 2.3 a 2.3.34 y 2.5 a 2.5.16 son vulnerables a la ejecución remota de código cuandoalwaysSelectFullNamespace se configura comotrue y ciertas configuraciones de acción existen.
Solución: Instala la versión 2.3.35 o 2.5.17. |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Las versiones 9.x anteriores a 9.0.31 de
Apache Tomcat, 8.x antes de 8.5.51, 7.x antes de 7.0.100 y todas las 6.x son vulnerables al código fuente y la divulgación de la configuración a través de un conector de protocolo Apache JServ expuesto. En algunos
casos, esto se aprovecha para ejecutar la ejecución de código remota si se permite la carga
de archivos.
Solución: Actualiza a versiones alternativas de Apache Tomcat. |
2021 A06 2017 A3, A9 |
VBULLETIN_RCE
|
Los servidores
vBulletin que ejecutan versiones 5.0.0 a 5.5.4 son vulnerables a la ejecución remota de código. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante un parámetro de consulta en una solicitud routestring .
Solución: Actualiza a las versiones alternativas de VMware vCenter Server. |
2021 A03, A06 2017 A1, A9 |
VCENTER_RCE
|
Las versiones 7.x anteriores a 7.0 U1c de
VMware vCenter Server, 6.7 antes de 6.7 U3l y 6.5 anteriores a 6.5 U3n son vulnerables a la ejecución remota de código. Esta vulnerabilidad puede deberse a que un atacante sube un archivo creado con páginas del servidor Java a un directorio accesible desde la Web y, luego, activa la ejecución de ese archivo.
Solución: Actualiza a las versiones alternativas de VMware vCenter Server. |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
Ciertas versiones del producto Oracle WebLogic Server del middleware de Oracle Fusion (componente: Console) contienen una vulnerabilidad de ejecución remota de código, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad está relacionada con CVE-2020-14750, CVE-2020-14882 y CVE-2020-14883. Para obtener más información, consulta CVE-2020-14883. Solución: Para obtener información sobre los parches, consulta Aviso de actualización de parche crítico de Oracle: octubre de 2020. |
2021 A06, A07 2017 A2, A9 |
Ejemplo de resultado
Los resultados de la Detección rápida de vulnerabilidades se pueden exportar en JSON con el panel de Security Command Center, Google Cloud CLI o la API de Security Command Center. El resultado de JSON para los resultados se parece al siguiente:
{
"finding": {
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "WEAK_CREDENTIALS",
"compliances": [
{
"ids": [
"A2"
],
"standard": "owasp",
"version": "2017"
},
{
"ids": [
"A07"
],
"standard": "owasp",
"version": "2021"
}
],
"contacts": {
"security": {
"contacts": [
{
"email": "EMAIL_ADDRESS_1"
},
{
"email": "EMAIL_ADDRESS_2"
}
]
},
"technical": {
"contacts": [
{
"email": "EMAIL_ADDRESS_3"
}
]
}
},
"createTime": "2021-08-19T06:26:20.038Z",
"description": "Well known or weak credentials have been detected.",
"eventTime": "2022-06-24T19:21:22.783Z",
"findingClass": "MISCONFIGURATION",
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"severity": "CRITICAL",
"sourceProperties": {
"description": "Well known or weak credentials have been detected.",
"targets": [
{
"ipv4Address": {
"address": "IP_ADDRESS",
"subnetMask": 32
},
"port": PORT_NUMBER,
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_NAME/instances/VM_NAME",
"transportProtocol": "TCP"
}
]
},
"state": "ACTIVE"
},
"resource": {
"displayName": "PROJECT_NAME",
"name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parentDisplayName": "ORGANIZATION_NAME",
"parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
"projectDisplayName": "PROJECT_NAME",
"projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"type": "google.cloud.resourcemanager.Project"
}
}
En el ejemplo anterior, se usan las siguientes variables de marcador de posición:
EMAIL_ADDRESS_[N]
: Las direcciones de correo electrónico de las personas o entidades a las que se notificará cuando se detecte un hallazgo.FINDING_ID
: Es un valor único que identifica el hallazgo.IP_ADDRESS
: Es la dirección IP en la que se detectó la vulnerabilidad.ORGANIZATION_ID
: Es el identificador de la organización en la que se encontró la vulnerabilidad.ORGANIZATION_NAME
: Es el nombre de la organización en la que se encontró la vulnerabilidad.PORT_NUMBER
: Es el número de puerto en el que se detectó la vulnerabilidad.PROJECT_ID
: Es el identificador alfanumérico del proyecto en el que se encontró la vulnerabilidad.PROJECT_NUMBER
: Es el identificador numérico del proyecto en el que se encontró la vulnerabilidad.SOURCE_ID
: Es el ID numérico, único dentro de tu organización, que identifica el servicio de Security Command Center que detectó la vulnerabilidad.VM_NAME
: Es la máquina virtual (VM) de Compute Engine en la que se detectó la vulnerabilidad.ZONE_NAME
: Es la zona de Compute Engine en la que se encuentra el destino del análisis.
prácticas recomendadas
Debido a que la Detección rápida de vulnerabilidades intenta iniciar sesión en las VM y accede a las interfaces de usuario del administrador expuestas, es posible que se acceda a datos sensibles o afecte los recursos con resultados no deseados. Usa la Detección rápida de vulnerabilidades para analizar recursos de prueba y, si es posible, evitar el uso del servicio en entornos de producción.
Puedes usar las siguientes recomendaciones para proteger tus recursos:
- Ejecuta análisis en un entorno de prueba. Crea un proyecto de Compute Engine por separado y carga tu aplicación y tus datos allí. Si usas Google Cloud CLI, puedes especificar el proyecto de destino como una opción de la línea de comandos cuando subas tu app.
- Utiliza una cuenta de prueba. Crea una cuenta de usuario que no tenga acceso a datos sensibles ni a operaciones dañinas, y úsala cuando analices tus VMs.
- Crea una copia de seguridad de los datos. Considera hacer una copia de seguridad de tus datos antes de realizar análisis.
- Analiza los recursos que no son de producción. Ejecuta análisis en recursos que no sean de producción para detectar vulnerabilidades antes de implementarlas en producción.
Antes de realizar un análisis, revisa cuidadosamente tu aplicación para detectar cualquier característica que pueda afectar los datos, usuarios o sistemas más allá del alcance deseado de tu análisis.
¿Qué sigue?
- Para obtener instrucciones sobre cómo habilitar y usar la Detección rápida de vulnerabilidades, consulta Usa la Detección rápida de vulnerabilidades.
- Para obtener información sobre las pruebas, consulta Prueba la detección rápida de vulnerabilidades.