Panoramica di Rapid Vulnerability Detection

Questa pagina fornisce una panoramica di Rapid Vulnerability Detection, che include:

Gli obiettivi di scansione supportati da Rapid Vulnerability Detection
I tipi di scansioni eseguiti da Rapid Vulnerability Detection
I tipi di vulnerabilità (risultati dell'analisi) rilevati da Rapid Vulnerability Detection

Questa pagina include anche alcune best practice per testare le scansioni di Rapid Vulnerability Detection.

Panoramica

Rapid Vulnerability Detection, un servizio integrato di Security Command Center Premium, è uno scanner di applicazioni web e di rete a configurazione zero che analizza attivamente gli endpoint pubblici per rilevare vulnerabilità con un'alta probabilità di essere sfruttate, come credenziali deboli, installazioni di software incomplete ed interfacce utente amministratore esposte. Il servizio rileva automaticamente endpoint di rete, protocolli, porte aperte, servizi di rete e pacchetti software installati.

I risultati di Rapid Vulnerability Detection sono avvisi tempestivi sulle vulnerabilità che ti consigliamo di risolvere immediatamente. Puoi visualizzare i risultati in Security Command Center.

Target di scansione supportati

Rapid Vulnerability Detection supporta le seguenti risorse:

Compute Engine
- Rapid Vulnerability Detection supporta solo le VM che hanno un indirizzo IP pubblico. Le VM che sono protette da un firewall o che non hanno un indirizzo IP pubblico vengono escluse dalle analisi.
Cloud Load Balancing
- Rapid Vulnerability Detection supporta solo bilanciatori del carico esterni.
In entrata in Google Kubernetes Engine
Cloud Run
- Rapid Vulnerability Detection analizza i domini predefiniti forniti da Cloud Run per le tue applicazioni o i domini personalizzati configurati per i servizi Cloud Run dietro bilanciatori del carico esterni. I domini personalizzati che utilizzano la mappatura dei domini integrata non sono supportati. Tuttavia, i domini predefiniti sono sempre disponibili anche quando viene utilizzato il mapping di domini.
App Engine
- Rapid Vulnerability Detection analizza solo i domini predefiniti forniti da App Engine per le tue applicazioni. I domini personalizzati non sono supportati. Tuttavia, i domini predefiniti sono sempre disponibili anche quando vengono utilizzati domini personalizzati.

Scansioni

Rapid Vulnerability Detection esegue scansioni gestite che rilevano le vulnerabilità in N-day, ovvero le vulnerabilità note che possono essere sfruttate per ottenere l'accesso arbitrario ai dati e consentire l'esecuzione di codice da remoto. Queste vulnerabilità includono credenziali deboli, installazioni di software incomplete e interfacce utente di amministrazione esposte.

Quando abiliti il servizio, le scansioni vengono configurate e gestite automaticamente da Security Command Center. I team di sicurezza non devono fornire URL di destinazione o avviare manualmente le analisi. Rapid Vulnerability Detection utilizza Cloud Asset Inventory per recuperare informazioni sulle nuove VM e applicazioni nei progetti ed esegue scansioni una volta alla settimana per trovare endpoint pubblici e rilevare le vulnerabilità. Lo user agent che esegue Rapid Vulnerability Detection è denominato TsunamiSecurityScanner in Logs Explorer.

Rapid Vulnerability Detection analizza le destinazioni supportate per le porte aperte (HTTP, HTTPS, SSH, MySQL e altre) e valuta le destinazioni di scansione per acquisire informazioni sulle applicazioni web installate e sui servizi di rete esposti. Poiché Rapida Vulnerability Detection esegue più scansioni sugli endpoint pubblici e utilizza le "impronte digitali" per identificare i servizi noti, le vulnerabilità ad alto rischio e ad alta gravità vengono segnalate con una percentuale di falsi positivi minima.

Per scoprire di più sugli asset target della scansione supportati da Rapida Vulnerability Detection, consulta Target di scansione supportati.

Analizza i risultati e le correzioni

La seguente tabella elenca i tipi di risultati di Rapid Vulnerability Detection e i passaggi di correzione suggeriti.

Le scansioni di Rapid Vulnerability Detection identificano i seguenti tipi di risultati.

Tipo di risultato	Descrizione del risultato	10 codici OWASP principali
Risultati relativi alle credenziali deboli
`WEAK_CREDENTIALS`	Questo rilevatore verifica la presenza di credenziali inefficaci utilizzando i metodi di forza bruta ncrack. Servizi supportati: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Soluzione : applica criteri per password efficaci. Crea credenziali univoche per i tuoi servizi ed evita di usare parole del dizionario nelle password.	2021 A07 2017 A2
Risultati dell'interfaccia esposta
`ELASTICSEARCH_API_EXPOSED`	L' API Elasticsearch consente ai chiamanti di eseguire query arbitrarie, scrivere ed eseguire script e aggiungere ulteriori documenti al servizio. Soluzione: rimuovi l'accesso diretto all'API Elasticsearch instradando le richieste tramite un'applicazione o limita l'accesso solo agli utenti autenticati. Per maggiori informazioni, consulta Impostazioni di sicurezza in Elasticsearch.	2021 A01, A05 2017 A5 e A6
`EXPOSED_GRAFANA_ENDPOINT`	In Grafana dalle versioni 8.0.0 alla versione 8.3.0, gli utenti possono accedere senza autenticazione a un endpoint con una vulnerabilità di attraversamento directory che consente a qualsiasi utente di leggere qualsiasi file sul server senza autenticazione. Per maggiori informazioni, consulta CVE-2021-43798. Soluzione: Applica la patch a Grafana o esegui l'upgrade di Grafana a una versione successiva. Per maggiori informazioni, consulta Grafana path traversal.	2021 A06, A07 2017 A2 e A9
`EXPOSED_METABASE`	Le versioni da x.40.0 a x.40.4 di Metabase, una piattaforma di analisi dei dati open source, contengono una vulnerabilità nel supporto delle mappe GeoJSON personalizzate e la potenziale inclusione di file locali, comprese le variabili di ambiente. Gli URL non sono stati convalidati prima del caricamento. Per maggiori informazioni, consulta CVE-2021-41277. Soluzione: esegui l'upgrade alle release di manutenzione 0.40.5 o successive oppure 1.40.5 o successive. Per maggiori informazioni, consulta la pagina La convalida degli URL di GeoJSON può esporre i file del server e le variabili di ambiente a utenti non autorizzati.	2021 A06 2017 A3 e A9
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	Questo rilevatore verifica se sono esposti gli endpoint sensibili dell'attuatore delle applicazioni Spring Boot. Alcuni degli endpoint predefiniti, come `/heapdump`, potrebbero esporre informazioni sensibili. Altri endpoint, come `/env`, potrebbero comportare l'esecuzione di codice da remoto. Al momento è selezionata solo `/heapdump`. Soluzione: disabilita l'accesso agli endpoint dell'attuatore sensibili. Per maggiori informazioni, consulta Protezione degli endpoint HTTP.	2021 A01, A05 2017 A5 e A6
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	Questo rilevatore verifica se l' API Hadoop Yarn ResourceManager, che controlla le risorse di calcolo e archiviazione di un cluster Hadoop, è esposta e consente l'esecuzione di codice non autenticato. Soluzione: utilizza gli controllo dell'accesso dell'accesso con l'API.	2021 A01, A05 2017 A5 e A6
`JAVA_JMX_RMI_EXPOSED`	La Java Management Extension (JMX) consente il monitoraggio e la diagnostica da remoto per le applicazioni Java. L'esecuzione di JMX con un endpoint di chiamata di metodo remoto non protetto consente a qualsiasi utente remoto di creare un MBean javax.management.loading.MLet MBean e di utilizzarlo per creare nuovi MBean da URL arbitrari. Soluzione: per configurare correttamente il monitoraggio remoto, vedi Monitoraggio e gestione utilizzando la tecnologia JMX.	2021 A01, A05 2017 A5 e A6
`JUPYTER_NOTEBOOK_EXPOSED_UI`	Questo rilevatore verifica se è esposto un blocco note Jupyter non autenticato. Jupyter consente l'esecuzione di codice remoto per progettazione sulla macchina host. Un blocco note Jupyter non autenticato mette la VM di hosting a rischio dell'esecuzione di codice remoto. Soluzione: aggiungi l'autenticazione dei token al server di blocchi note Jupyter o utilizza versioni più recenti di blocco note Jupyter che utilizzano l'autenticazione dei token per impostazione predefinita.	2021 A01, A05 2017 A5 e A6
`KUBERNETES_API_EXPOSED`	L' API Kubernetes è esposta e accessibile da parte di chiamanti non autenticati. Ciò consente l'esecuzione di codice arbitrario sul cluster Kubernetes. Soluzione: richiedi l'autenticazione per tutte le richieste API. Per ulteriori informazioni, consulta la guida all' autenticazione dell'API Kubernetes.	2021 A01, A05 2017 A5 e A6
`UNFINISHED_WORDPRESS_INSTALLATION`	Questo rilevatore verifica se un'installazione di WordPress è stata completata. Un'installazione di WordPress non completata espone la pagina `/wp-admin/install.php`, che consente a un utente malintenzionato di impostare la password di amministratore e, potenzialmente, di compromettere il sistema. Soluzione: completa l' installazione di WordPress.	2021 A05 2017 A6
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	Questo rilevatore verifica la presenza di un'istanza Jenkins non autenticata inviando un ping del probe all'endpoint `/view/all/newJob` come visitatore anonimo. Un'istanza Jenkins autenticata mostra il modulo `createItem`, che consente la creazione di job arbitrari che potrebbero portare all'esecuzione di codice remoto. Soluzione: segui la guida di Jenkins sulla gestione della sicurezza per bloccare gli accessi non autenticati.	2021 A01, A05 2017 A5 e A6
Risultati software vulnerabili
`APACHE_HTTPD_RCE`	In Apache HTTP Server 2.4.49 è stato rilevato un difetto che consente a un utente malintenzionato di utilizzare un attacco path traversal per mappare gli URL ai file al di fuori della radice del documento prevista e di visualizzare l'origine dei file interpretati, come gli script CGI. È noto che questo problema è sfruttato in natura. Questo problema riguarda Apache 2.4.49 e 2.4.50, ma non versioni precedenti. Per ulteriori informazioni su questa vulnerabilità, consulta: Record CVE CVE-2021-41773 Vulnerabilità di Apache HTTP Server 2.4 Soluzione: proteggi i file al di fuori della radice del documento configurando l'istruzione "Richiedi tutti i contenuti rifiutati" in Apache HTTP Server.	2021 A01, A06 2017 A5 e A9
`APACHE_HTTPD_SSRF`	Gli utenti malintenzionati possono creare un URI al server web Apache che fa sì che `mod_proxy` inoltri la richiesta a un server di origine scelto dall'utente malintenzionato. Questo problema riguarda il server HTTP Apache 2.4.48 e versioni precedenti. Per ulteriori informazioni su questa vulnerabilità, consulta: Record CVE CVE-2021-40438 Vulnerabilità di Apache HTTP Server 2.4 Soluzione: esegui l'upgrade del server HTTP Apache a una versione successiva.	2021 A06 e A10 2017 A9
`CONSUL_RCE`	Gli utenti malintenzionati possono eseguire codice arbitrario su un server Consul perché l'istanza Consul è configurata con `-enable-script-checks` impostato su `true` e l'API HTTP Consul non è protetta e accessibile sulla rete. In Consul 0.9.0 e versioni precedenti, i controlli degli script sono attivi per impostazione predefinita. Per maggiori informazioni, consulta Protezione di Consul dal rischio RCE in configurazioni specifiche. Per verificare questa vulnerabilità, Rapid Vulnerability Detection registra un servizio sull'istanza di Consul utilizzando l'endpoint REST `/v1/health/service`, che esegue quindi una delle seguenti operazioni: Un comando `curl` a un server remoto esterno alla rete. Un utente malintenzionato può utilizzare il comando `curl` per esfiltrare i dati dal server. Un comando `printf`. Rapid Vulnerability Detection verifica quindi l'output del comando utilizzando l'endpoint REST `/v1/health/service`. Dopo il controllo, Rapid Vulnerability Detection esegue la pulizia e annulla la registrazione del servizio utilizzando l'endpoint REST `/v1/agent/service/deregister/`. Soluzione: imposta allow-script-checks su `false` nella configurazione dell'istanza della console.	2021 A05, A06 2017 A6 e A9
`DRUID_RCE`	Apache Druid include la possibilità di eseguire codice JavaScript fornito dall'utente incorporato in vari tipi di richieste. Questa funzionalità è destinata all'utilizzo in ambienti ad alta attendibilità ed è disabilitata per impostazione predefinita. Tuttavia, in Druid 0.20.0 e versioni precedenti, è possibile che un utente autenticato invii una richiesta creata appositamente che costringa Druid a eseguire il codice JavaScript fornito dall'utente per quella richiesta, indipendentemente dalla configurazione del server. Può essere sfruttato per eseguire il codice sulla macchina di destinazione con i privilegi del processo del server Druid. Per maggiori informazioni, consulta Dettagli CVE-2021-25646. Soluzione: esegui l'upgrade di Apache Druid alla versione successiva.	2021 A05, A06 2017 A6 e A9
`DRUPAL_RCE` Questa categoria include due vulnerabilità in Drupal. Più risultati di questo tipo possono indicare più di una vulnerabilità.	Le versioni Dupal precedenti alla 7.58, 8.x prima della 8.3.9, 8.4.x precedenti alla 8.4.6 e 8.5.x precedenti alla 8.5.1 sono vulnerabili all'esecuzione di codice remoto su richieste AJAX dell'API Form. Soluzione: esegui l'upgrade a versioni alternative di Drupal.	2021 A06 2017 A9
	Le versioni 8.5.x di Dupal precedenti alla 8.5.11 e 8.6.x precedenti alla 8.6.10 sono vulnerabili all'esecuzione di codice remoto quando sono abilitati il modulo del servizio web RESTful o JSON:API. Questa vulnerabilità può essere sfruttata da un utente malintenzionato non autenticato che utilizza una richiesta POST personalizzata. Soluzione: esegui l'upgrade a versioni alternative di Drupal.	2021 A06 2017 A9
`FLINK_FILE_DISCLOSURE`	Una vulnerabilità presente nelle versioni 1.11.0, 1.11.1 e 1.11.2 di Apache Flink consente agli utenti malintenzionati di leggere qualsiasi file nel file system locale di JobManager tramite l'interfaccia REST del processo JobManager. L'accesso è limitato ai file accessibili dal processo JobManager. Soluzione: se le tue istanze Flink sono esposte, esegui l'upgrade a Flink 1.11.3 o 1.12.0.	2021 A01, A05, A06 2017 A5, A6, A9
`GITLAB_RCE`	Nelle versioni GitLab Community Edition (CE) ed Enterprise Edition (EE) 11.9 e successive, GitLab non convalida correttamente i file immagine trasmessi a un parser di file. Un utente malintenzionato può sfruttare questa vulnerabilità per l'esecuzione del comando da remoto. Soluzione: esegui l'upgrade a GitLab CE o EE release 13.10.3, 13.9.6 e 13.8.8 o successive. Per maggiori informazioni, consulta Azione richiesta dai clienti autogestiti in risposta a CVE-2021-22205.	2021 A06 2017 A9
`GoCD_RCE`	In GoCD 21.2.0 e versioni precedenti, è presente un endpoint a cui è possibile accedere senza autenticazione. Questo endpoint ha una vulnerabilità di attraversamento directory che consente a un utente di leggere qualsiasi file sul server senza autenticazione. Soluzione: esegui l'upgrade alla versione 21.3.0 o successive. Per maggiori informazioni, consulta le note di rilascio di GoCD 21.3.0.	2021 A06, A07 2017 A2 e A9
`JENKINS_RCE`	Le versioni di Jenkins 2.56 e precedenti, 2.46.1 LTS e precedenti sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere attivata da un utente malintenzionato non autenticato che utilizza un oggetto Java serializzato dannoso. Soluzione: installa una versione alternativa di Jenkins.	2021 A06, A08 2017 A8 e A9
`JOOMLA_RCE` Questa categoria include due vulnerabilità in Joomla. Più risultati di questo tipo possono indicare più di una vulnerabilità.	Le versioni di Joomla 1.5.x, 2.x e 3.x precedenti alla 3.4.6 sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere attivata con un'intestazione creata contenente oggetti PHP serializzati. Soluzione: installa una versione alternativa di Joomla.	2021 A06, A08 2017 A8 e A9
	Le versioni da 3.0.0 a 3.4.6 di Joomla sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere attivata inviando una richiesta POST contenente un oggetto PHP serializzato creato. Soluzione: installa una versione alternativa di Joomla.	2021 A06 2017 A9
`LOG4J_RCE`	In Apache Log4j2 2.14.1 e versioni precedenti, le funzionalità JNDI utilizzate in configurazioni, messaggi di log e parametri non proteggono da LDAP controllati da utenti malintenzionati e altri endpoint correlati a JNDI. Per maggiori informazioni, consulta CVE-2021-44228. Soluzione: per informazioni sulla risoluzione, consulta Vulnerabilità di sicurezza di Apache Log4j.	2021 A06 2017 A9
`MANTISBT_PRIVILEGE_ESCALATION`	MantisBT tramite la versione 2.3.0 consente la reimpostazione arbitraria della password e l'accesso amministrativo non autenticato fornendo un valore `confirm_hash` vuoto a `verify.php`. Soluzione: aggiorna MantisBT a una versione più recente o segui le istruzioni di Mantis per applicare una correzione di sicurezza critica.	2021 A06 2017 A9
`OGNL_RCE`	Le istanze Server di Confluence e Data Center contengono una vulnerabilità OGNL injection che consente a un utente malintenzionato non autenticato di eseguire codice arbitrario. Per maggiori informazioni, consulta CVE-2021-26084. Soluzione: per informazioni sulla correzione, consulta Confluence Server Webwork OGNL injection - CVE-2021-26084.	2021 A03 2017 A1
`OPENAM_RCE`	I server OpenAM 14.6.2 e precedenti e i server ForgeRock 6.5.3 e versioni precedenti presentano una vulnerabilità di deserializzazione Java nel parametro `jato.pageSession` su più pagine. L'exploit non richiede l'autenticazione e l'esecuzione di codice remoto può essere attivata inviando una singola richiesta `/ccversion/` creata al server. La vulnerabilità esiste a causa dell'utilizzo dell'applicazione Sun ONE. Per maggiori informazioni, consulta CVE-2021-35464. Soluzione:* esegui l'upgrade a una versione più recente. Per informazioni sulla correzione di ForgeRock, consulta AM Security Advisory #202104.	2021 A06 2017 A9
`ORACLE_WEBLOGIC_RCE`	Alcune versioni del prodotto Oracle WebLogic Server di Oracle Fusion Middleware (componente: Console) contengono una vulnerabilità, incluse le versioni 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Questa vulnerabilità facilmente sfruttabile consente a un utente malintenzionato non autenticato con accesso alla rete tramite HTTP di compromettere Oracle WebLogic Server. Gli attacchi riusciti di questa vulnerabilità possono comportare il rilevamento di Oracle WebLogic Server. Per maggiori informazioni, consulta CVE-2020-14882. Soluzione: per informazioni sulle patch, consulta Avviso sull'aggiornamento delle patch critiche di Oracle - Ottobre 2020.	2021 A06, A07 2017 A2 e A9
`PHPUNIT_RCE`	Le versioni PHPUnit precedenti alla 5.6.3 consentono l'esecuzione di codice remoto con una singola richiesta POST non autenticata. Soluzione: esegui l'upgrade alle versioni più recenti di PHPUnit.	2021: A05 2017: A6
`PHP_CGI_RCE`	Le versioni PHP precedenti alla 5.3.12 e le versioni 5.4.x precedenti alla 5.4.2, se configurate come script CGI, consentono l'esecuzione di codice remoto. Il codice vulnerabile non gestisce correttamente le stringhe di query prive di un carattere `=` (uguale al segno). In questo modo i malintenzionati possono aggiungere opzioni della riga di comando che vengono eseguite sul server. Soluzione: installa una versione PHP alternativa.	2021 A05, A06 2017 A6 e A9
`PORTAL_RCE`	La deserializzazione dei dati non attendibili nelle versioni di Liferay Portal precedenti alla 7.2.1 CE GA2 consente a utenti malintenzionati remoti di eseguire codice arbitrario tramite i servizi web JSON. Soluzione: esegui l'upgrade alle versioni più recenti del Liferay Portal.	2021 A06, A08 2017 A8 e A9
`REDIS_RCE`	Se un'istanza Redis non richiede l'autenticazione per eseguire i comandi di amministrazione, i malintenzionati potrebbero essere in grado di eseguire un codice arbitrario. Soluzione: configura Redis in modo che richieda l'autenticazione.	2021 A01, A05 2017 A5 e A6
`SOLR_FILE_EXPOSED`	L'autenticazione non è abilitata in Apache Solr, un server di ricerca open source. Quando Apache Solr non richiede l'autenticazione, un utente malintenzionato può creare direttamente una richiesta per abilitare una configurazione specifica e, infine, implementare una contraffazione di richieste lato server (SSRF) o leggere file arbitrari. Soluzione: esegui l'upgrade a versioni alternative di Apache Solr.	2021 A07 e A10 2017 A2
`SOLR_RCE`	Le versioni 5.0.0 di Apache Solr e Apache Solr 8.3.1 sono vulnerabili all'esecuzione di codice remoto tramite VelocityResponseWriter se `params.resource.loader.enabled` è impostato su `true`. In questo modo gli utenti malintenzionati possono creare un parametro che contiene un modello Velocity dannoso. Soluzione: esegui l'upgrade a versioni alternative di Apache Solr.	2021 A06 2017 A9
`STRUTS_RCE` Questa categoria include tre vulnerabilità in Apache Struts. Più risultati di questo tipo possono indicare più di una vulnerabilità.	Le versioni di Apache Struts precedenti alla 2.3.32 e 2.5.x prima della 2.5.10.1 sono vulnerabili all'esecuzione di codice remoto. La vulnerabilità può essere attivata da un utente malintenzionato non autenticato che fornisce un'intestazione Content-Type creata. Soluzione: installa una versione alternativa di Apache Struts.	2021 A06 2017 A9
	Il plug-in REST nelle versioni da 2.1.1 a 2.3.x di Apache Struts precedenti alla 2.3.34 e 2.5.x prima della 2.5.13 sono vulnerabili all'esecuzione di codice remoto durante la deserializzazione dei payload XML creati. Soluzione: installa una versione alternativa di Apache Struts.	2021 A06, A08 2017 A8 e A9
	Le versioni da 2.3 a 2.3.34 e da 2.5 a 2.5.16 di Apache Struts sono vulnerabili all'esecuzione di codice remoto quando `alwaysSelectFullNamespace` è impostato su `true` ed esistono determinate altre configurazioni di azioni. Soluzione: installa la versione 2.3.35 o 2.5.17.	2021 A06 2017 A9
`TOMCAT_FILE_DISCLOSURE`	Apache Tomcat versioni 9.x prima della 9.0.31, 8.x prima della 8.5.51, 7.x prima della 7.0.100 e tutte le versioni 6.x sono vulnerabili alla divulgazione del codice sorgente e della configurazione tramite un connettore Apache JServ esposto. In alcuni casi, viene utilizzato per eseguire l'esecuzione di codice remoto se è consentito il caricamento di file. Soluzione: esegui l'upgrade a versioni alternative di Apache Tomcat.	2021 A06 2017 A3 e A9
`VBULLETIN_RCE`	I server vBulletin che eseguono le versioni dalla 5.0.0 alla 5.5.4 sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere sfruttata da un utente malintenzionato non autenticato che utilizza un parametro di query in una richiesta `routestring`. Soluzione: esegui l'upgrade a versioni alternative di VMware vCenter Server.	2021 A03 e A06 2017 A1 e A9
`VCENTER_RCE`	VMware vCenter Server 7.x prima della 7.0 U1c, 6.7 prima della 6.7 U3l e 6.5 prima della 6.5 U3n sono vulnerabili all'esecuzione di codice remoto. Questa vulnerabilità può essere attivata da un utente malintenzionato che carica un file Java Server Pages creato in una directory accessibile dal web e attiva l'esecuzione di tale file. Soluzione: esegui l'upgrade a versioni alternative di VMware vCenter Server.	2021 A06 2017 A9
`WEBLOGIC_RCE`	Alcune versioni del prodotto Oracle WebLogic Server di Oracle Fusion Middleware (componente: Console) contengono una vulnerabilità di esecuzione di codice remoto, incluse le versioni 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Questa vulnerabilità è correlata a CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Per maggiori informazioni, consulta CVE-2020-14883. Soluzione: per informazioni sulle patch, consulta Avviso sull'aggiornamento delle patch critiche di Oracle - Ottobre 2020.	2021 A06, A07 2017 A2 e A9

Esempio di risultato

I risultati di Rapid Vulnerability Detection possono essere esportati in formato JSON con la dashboard di Security Command Center, Google Cloud CLI o l'API Security Command Center. L'output JSON per i risultati è simile al seguente:

  {
    "finding": {
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "WEAK_CREDENTIALS",
      "compliances": [
        {
          "ids": [
            "A2"
          ],
          "standard": "owasp",
          "version": "2017"
        },
        {
          "ids": [
            "A07"
          ],
          "standard": "owasp",
          "version": "2021"
        }
      ],
      "contacts": {
        "security": {
          "contacts": [
            {
              "email": "EMAIL_ADDRESS_1"
            },
            {
              "email": "EMAIL_ADDRESS_2"
            }
          ]
        },
        "technical": {
          "contacts": [
            {
              "email": "EMAIL_ADDRESS_3"
            }
          ]
        }
      },
      "createTime": "2021-08-19T06:26:20.038Z",
      "description": "Well known or weak credentials have been detected.",
      "eventTime": "2022-06-24T19:21:22.783Z",
      "findingClass": "MISCONFIGURATION",
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "securityMarks": {
        "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
      },
      "severity": "CRITICAL",
      "sourceProperties": {
        "description": "Well known or weak credentials have been detected.",
        "targets": [
          {
            "ipv4Address": {
              "address": "IP_ADDRESS",
              "subnetMask": 32
            },
            "port": PORT_NUMBER,
            "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_NAME/instances/VM_NAME",
            "transportProtocol": "TCP"
          }
        ]
      },
      "state": "ACTIVE"
    },
    "resource": {
      "displayName": "PROJECT_NAME",
      "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parentDisplayName": "ORGANIZATION_NAME",
      "parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
      "projectDisplayName": "PROJECT_NAME",
      "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "type": "google.cloud.resourcemanager.Project"
    }
  }

L'esempio precedente utilizza le seguenti variabili segnaposto:

EMAIL_ADDRESS_[N]: gli indirizzi email delle persone o delle entità a cui inviare una notifica quando viene rilevato un risultato.
FINDING_ID: un valore univoco che identifica il risultato.
IP_ADDRESS: l'indirizzo IP in cui è stata rilevata la vulnerabilità.
ORGANIZATION_ID: l'identificatore dell'organizzazione in cui è stata rilevata la vulnerabilità.
ORGANIZATION_NAME: il nome dell'organizzazione in cui è stata rilevata la vulnerabilità.
PORT_NUMBER: il numero di porta in cui è stata rilevata la vulnerabilità.
PROJECT_ID: l'identificatore alfanumerico del progetto in cui è stata rilevata la vulnerabilità.
PROJECT_NUMBER: l'identificatore numerico del progetto in cui è stata rilevata la vulnerabilità.
SOURCE_ID: l'ID numerico, univoco all'interno della tua organizzazione, che identifica il servizio Security Command Center che ha rilevato la vulnerabilità.
VM_NAME: la macchina virtuale (VM) Compute Engine in cui è stata rilevata la vulnerabilità.
ZONE_NAME: la zona di Compute Engine in cui si trova la destinazione della scansione.

best practice

Poiché Rapid Vulnerability Detection tenta di accedere alle VM e accede alle interfacce utente degli amministratori esposte, potrebbe potenzialmente accedere a dati sensibili o influire sulle tue risorse con risultati indesiderati. Utilizza Rapid Vulnerability Detection per eseguire la scansione delle risorse di test e, se possibile, evita di utilizzare il servizio in ambienti di produzione.

Per salvaguardare le tue risorse, puoi utilizzare i seguenti consigli:

Esegui scansioni in un ambiente di test. Creando un progetto Compute Engine distinto e carica lì i dati e l'applicazione. Se utilizzi Google Cloud CLI, puoi specificare il progetto di destinazione come opzione della riga di comando quando carichi l'app.
Utilizza un account di prova. Crea un account utente che non ha accesso a dati sensibili o operazioni dannose e utilizzalo durante la scansione delle VM.
Effettuare il backup dei dati. Valuta la possibilità di effettuare un backup dei dati prima di analizzarli.
Analisi delle risorse non di produzione. Esegui scansioni su risorse non di produzione per rilevare le vulnerabilità prima di eseguirne il deployment in produzione.

Prima di eseguire la scansione, verifica attentamente l'applicazione per rilevare eventuali funzionalità che potrebbero influire su dati o sistemi oltre l'ambito previsto dalla scansione.

Passaggi successivi

Per istruzioni su come abilitare e utilizzare Rapid Vulnerability Detection, consulta Using Rapid Vulnerability Detection.
Per informazioni sui test, consulta Testing Rapid Vulnerability Detection.