En esta página se proporciona una descripción general de Rapid Vulnerability Detection, que incluye lo siguiente:
- Los objetivos de análisis que admite la Detección rápida de vulnerabilidades
- Los tipos de análisis que realiza la Detección rápida de vulnerabilidades
- Los tipos de vulnerabilidades (resultados del análisis) que detecta la Detección rápida de vulnerabilidades
En esta página, también se incluyen algunas prácticas recomendadas para probar los análisis de Detección rápida de vulnerabilidades.
Descripción general
La Detección rápida de vulnerabilidades, un servicio integrado de Security Command Center Premium, es un escáner de aplicaciones web y redes sin configuración que analiza de forma activa los extremos públicos para detectar vulnerabilidades que tienen una alta probabilidad de explotar, como credenciales débiles, instalaciones de software incompletas e interfaces de usuario de administrador expuestas. El servicio descubre de forma automática los extremos de red, los protocolos, los puertos abiertos, los servicios de red y los paquetes de software instalados.
Los resultados de la Detección rápida de vulnerabilidades son advertencias tempranas de vulnerabilidades que recomendamos que corrijas de inmediato. Puedes ver los resultados en Security Command Center.
Destinos de análisis compatibles
La Detección rápida de vulnerabilidades admite los siguientes recursos:
- Compute Engine
- La Detección rápida de vulnerabilidades solo admite las VMs que tienen una dirección IP pública. Las VM que están detrás de un firewall o que no tienen una dirección IP pública se excluyen de los análisis.
- Cloud Load Balancing
- La Detección rápida de vulnerabilidades solo admite balanceadores de cargas externos.
- Entrada de Google Kubernetes Engine
- Cloud Run
- La Detección rápida de vulnerabilidades analiza los dominios predeterminados que Cloud Run proporciona para las aplicaciones o los dominios personalizados configurados para los servicios de Cloud Run detrás de los balanceadores de cargas externos. No se admiten los dominios personalizados que usan la asignación de dominios integrada. Sin embargo, los dominios predeterminados siempre están disponibles, incluso cuando se usa la asignación de dominios.
- App Engine
- La Detección rápida de vulnerabilidades solo analiza los dominios predeterminados que App Engine proporciona para tus aplicaciones. No se admiten los dominios personalizados. Sin embargo, los dominios predeterminados siempre están disponibles, incluso cuando se usan dominios personalizados.
Análisis
La Detección rápida de vulnerabilidades ejecuta análisis administrados que detectan vulnerabilidades de día N, que son vulnerabilidades conocidas que se pueden aprovechar para obtener acceso a datos arbitrarios y permitir la ejecución remota de código. Estas vulnerabilidades incluyen credenciales débiles, instalaciones de software incompletas y también interfaces de usuario de administrador expuestas.
Cuando habilitas el servicio, Security Command Center configura y administra los análisis de forma automática. Tus equipos de seguridad no necesitan proporcionar las URL de destino ni iniciar los análisis de forma manual. La Detección rápida de vulnerabilidades usa Cloud Asset Inventory para recuperar información sobre VM y aplicaciones nuevas de tus proyectos y ejecuta análisis una vez a la semana a fin de encontrar extremos públicos y detectar vulnerabilidades. El usuario-agente que ejecuta la Detección rápida de vulnerabilidades se llama TsunamiSecurityScanner en el Explorador de registros.
La Detección rápida de vulnerabilidades analiza los objetivos compatibles de puertos abiertos (HTTP, HTTPS, SSH, MySQL y otros) y evalúa los objetivos de análisis para obtener información sobre las aplicaciones web instaladas y los servicios de red expuestos. Debido a que la Detección rápida de vulnerabilidades realiza varios análisis en extremos públicos y usa “huellas digitales” para identificar servicios conocidos, las vulnerabilidades de alto riesgo y alta gravedad se informan con una tasa mínima de falsos positivos.
Para obtener más información sobre los elementos de los objetivos de análisis compatibles con la Detección rápida de vulnerabilidades, consulta Objetivos de análisis compatibles.
Resultados del análisis y soluciones
En la siguiente tabla, se enumeran los tipos de resultados de la Detección rápida de vulnerabilidades y los pasos de corrección sugeridos.
Los análisis de Detección rápida de vulnerabilidades identifican los siguientes tipos de resultados.
Tipo de resultado | Descripción del resultado | Los 10 códigos principales de OWASP |
---|---|---|
Hallazgos de credenciales poco seguras | ||
WEAK_CREDENTIALS
|
Este detector busca credenciales débiles con métodos de fuerza bruta ncra. Servicios compatibles: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Solución: Aplica una política de contraseñas segura. Crea credenciales únicas para tus servicios y evita el uso de palabras del diccionario en las contraseñas. |
2021 A07 2017 A2 |
Hallazgos de interfaces expuestas | ||
ELASTICSEARCH_API_EXPOSED
|
La
API de Elasticsearch permite que los emisores realicen consultas arbitrarias, escriban y ejecuten secuencias de comandos, y agreguen documentos adicionales al servicio.
Solución: Quita el acceso directo a la API de Elasticsearch mediante el enrutamiento de solicitudes a través de una aplicación o limita el acceso solo a los usuarios autenticados. Para obtener más información, consulta Configuración de seguridad en Elasticsearch. |
2021 A01 y A05 2017 A5 y A6 |
EXPOSED_GRAFANA_ENDPOINT
|
En Grafana 8.0.0 a 8.3.0, los usuarios pueden acceder sin autenticación a un extremo con una vulnerabilidad de recorrido del directorio que permite a cualquier usuario leer cualquier archivo del servidor sin autenticación. Para obtener más información, consulta CVE-2021-43798. Solución: Aplica un parche en Grafana o actualiza a una versión posterior. Para obtener más información, consulta Recorrido de la ruta de acceso de Grafana. |
2021 A06 y A07 2017 A2 y A9 |
EXPOSED_METABASE
|
Las versiones x.40.0 a x.40.4 de Metabase, una plataforma de análisis de datos de código abierto, contienen una vulnerabilidad en la compatibilidad con mapas GeoJSON personalizados y la posible inclusión de archivos locales, incluidas las variables de entorno. No se validaron las URLs antes de cargarse. Para obtener más información, consulta CVE-2021-41277. Solución: Actualiza a las versiones de mantenimiento 0.40.5 o posteriores, o 1.40.5 o posteriores. Para obtener más información, consulta La validación de URLs de GeoJSON puede exponer los archivos del servidor y las variables de entorno a usuarios no autorizados. |
2021 A06 2017 A3 y A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
Este detector verifica si los extremos sensibles del accionador de las aplicaciones de
Spring Boot están expuestos. Algunos de los extremos predeterminados, como /heapdump , pueden exponer información sensible. Otros extremos, como /env , pueden provocar la ejecución remota de código.
Por el momento, solo se marcó /heapdump .
Solución: Inhabilita el acceso a los extremos sensibles de Actuator. Para obtener más información, consulta Cómo proteger extremos HTTP. |
2021 A01 y A05 2017 A5 y A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
Este detector verifica si la
API de Hadoop Yarn ResourceManager, que controla los recursos de procesamiento y almacenamiento de un clúster de Hadoop, está expuesta y permite la ejecución de código no autenticada.
Solución: Usa las listas de control de acceso con la API. |
2021 A01 y A05 2017 A5 y A6 |
JAVA_JMX_RMI_EXPOSED
|
Java Management Extension (JMX) permite la supervisión y el diagnóstico remotos para las aplicaciones de Java. Ejecutar JMX con el extremo de invocación de método remoto desprotegido permite que cualquier usuario remoto cree un javax.management.loading.MLet MBean y lo use para crear MBeans nuevos a partir de URLs arbitrarias.
Solución: Para configurar la supervisión remota de forma correcta, consulta Supervisión y administración con la tecnología JMX. |
2021 A01 y A05 2017 A5, A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
Este detector verifica si un notebook de Jupyter no autenticado está expuesto. Jupyter permite la ejecución remota de código por diseño en la máquina anfitrión.
Un notebook de Jupyter no autenticado pone a la VM de hosting en riesgo de ejecución de código
remoto.
Solución: Agrega autenticación con token a tu servidor de notebook de Jupyter o usa versiones más recientes del notebook de Jupyter que usen la autenticación con token de forma predeterminada. |
2021 A01 y A05 2017 A5, A6 |
KUBERNETES_API_EXPOSED
|
La
API de Kubernetes está expuesta y pueden acceder a ella emisores no autenticados. Esto permite la ejecución de código arbitrario en el clúster de Kubernetes.
Solución: Se requiere autenticación para todas las solicitudes a la API. Para obtener más información, consulta la guía de autenticación de la API de Kubernetes. |
2021 A01 y A05 2017 A5 y A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
Este detector verifica si una instalación de WordPress no finalizó. Una
instalación de WordPress sin terminar expone la
página /wp-admin/install.php , lo que permite que el atacante establezca la
contraseña de administrador y, posiblemente, ponga en riesgo el sistema.
Solución: Completa la instalación de WordPress. |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
Este detector busca una instancia de Jenkins no autenticada mediante el envío de un ping de sondeo al extremo /view/all/newJob como visitante anónimo. Una instancia autenticada de Jenkins muestra el formulario createItem , que permite la creación de trabajos arbitrarios que podrían conducir a la ejecución de código remoto.
Solución: Sigue la guía de Jenkins sobre la administración de la seguridad para bloquear el acceso no autenticado. |
2021 A01 y A05 2017 A5 y A6 |
Resultados de software vulnerables | ||
APACHE_HTTPD_RCE
|
Se encontró una falla en el servidor HTTP Apache 2.4.49 que permite a un atacante usar un ataque de salto de directorio para asignar URLs a archivos fuera de la raíz esperada del documento y ver la fuente de los archivos interpretados, como las secuencias de comandos de CGI. Se sabe que este problema se aprovecha de forma explícita. Este problema afecta a Apache 2.4.49 y 2.4.50, pero no a versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta: Solución: Protege los archivos fuera de la raíz del documento mediante la configuración de la directiva “requerir todo denegado” en el servidor HTTP de Apache. |
2021 A01 y A06 2017 A5 y A9 |
APACHE_HTTPD_SSRF
|
Los atacantes pueden crear un URI para el servidor web Apache que haga que Solución: Actualiza el servidor HTTP de Apache a una versión posterior. |
2021 A06 y A10 2017 A9 |
CONSUL_RCE
|
Los atacantes pueden ejecutar un código arbitrario en un servidor de Consul porque la instancia de Consul está configurada con
Después de la verificación, la Detección rápida de vulnerabilidades limpia y cancela el registro del servicio mediante el extremo de REST Solución: Establece enable-script-checks en |
2021 A05 y A06 2017 A6 y A9 |
DRUID_RCE
|
Apache Druid incluye la capacidad de ejecutar código JavaScript proporcionado por el usuario incorporado en varios tipos de solicitudes. Esta función está diseñada para usarse en entornos de alta confianza y está inhabilitada de forma predeterminada. Sin embargo, en Druid 0.20.0 y versiones anteriores, es posible que un usuario autenticado envíe una solicitud especialmente diseñada que obligue a Druid a ejecutar código JavaScript proporcionado por el usuario para esa solicitud, independientemente de la configuración del servidor. Esto se puede aprovechar para ejecutar código en la máquina de destino con los privilegios del proceso del servidor de Druid. Para obtener más información, consulta los Detalles de CVE-2021-25646. Solución: Actualiza Apache Druid a una versión posterior. |
2021 A05 y A06 2017 A6 y A9 |
DRUPAL_RCE
Esta categoría incluye dos vulnerabilidades en Drupal. Varios hallazgos de este tipo pueden indicar más de una vulnerabilidad. |
Las versiones de
Dupal anteriores a la 7.58, 8.x antes de 8.3.9, 8.4.x antes de 8.4.6 y 8.5.x anteriores a 8.5.1 son vulnerables a la ejecución remota de código en solicitudes AJAX de la API de Form.
Solución: Actualiza a versiones alternativas de Drupal. |
2021 A06 2017 A9 |
Las versiones 8.5.x de
Drupal anteriores a 8.5.11 y 8.6.x anteriores a 8.6.10 son vulnerables a la ejecución de código remoto cuando el módulo del servicio web RESTful o la API de JSON están habilitados. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante una solicitud POST personalizada.
Solución: Actualiza a versiones alternativas de Drupal. |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Una vulnerabilidad en las versiones 1.11.0, 1.11.1 y 1.11.2 de
Apache Flink permite que los atacantes lean cualquier archivo en el sistema de archivos local del JobManager a través de la interfaz REST del proceso de JobManager. El acceso está restringido a los archivos a los que puede acceder el proceso de JobManager.
Solución: Si las instancias de Flink se exponen, actualiza a Flink 1.11.3 o 1.12.0. |
2021 A01, A05, A06 2017 A5, A6, A9 |
GITLAB_RCE
|
En las versiones 11.9 y posteriores de GitLab Community Edition (CE) y Enterprise Edition (EE), GitLab no valida de forma adecuada los archivos de imagen que se pasan a un analizador de archivos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar comandos remotos. Solución: Actualiza a GitLab CE o EE a la versión 13.10.3, 13.9.6, 13.8.8 o una posterior. Para obtener más información, consulta Acción necesaria por parte de los clientes autoadministrados en respuesta a CVE-2021-22205. |
2021 A06 2017 A9 |
GoCD_RCE
|
En GoCD 21.2.0 y versiones anteriores, hay un extremo al que se puede acceder sin autenticación. Este extremo tiene una vulnerabilidad de salto de directorio que permite que un usuario lea cualquier archivo del servidor sin autenticación. Solución: Actualiza a la versión 21.3.0 o una posterior. Para obtener más información, consulta Notas de la versión de GoCD 21.3.0. |
2021 A06 y A07 2017 A2 y A9 |
JENKINS_RCE
|
Las versiones 2.56 y anteriores de
Jenkins, y 2.46.1 LTS y anteriores son vulnerables a la ejecución de código remoto. Un atacante no autenticado puede activar esta vulnerabilidad con un objeto Java serializado malicioso.
Solución: Instala una versión alternativa de Jenkins. |
2021 A06 y A08 2017 A8, A9 |
JOOMLA_RCE
Esta categoría incluye dos vulnerabilidades en Joomla. Varios hallazgos de este tipo pueden indicar más de una vulnerabilidad. |
Las versiones 1.5.x, 2.x y 3.x de
Joomla anteriores a la 3.4.6 son vulnerables a la ejecución de código remoto. Esta vulnerabilidad se puede activar con un encabezado elaborado que contenga objetos PHP serializados.
Solución: Instala una versión alternativa de Joomla. |
2021 A06 y A08 2017 A8, A9 |
Las versiones 3.0.0 a 3.4.6 de
Joomla son vulnerables a la ejecución de código remoto. Esta vulnerabilidad se puede activar mediante el envío de una solicitud POST que contenga un objeto PHP serializado elaborado.
Solución: Instala una versión alternativa de Joomla. |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
En Apache Log4j2 2.14.1 y versiones anteriores, las funciones de JNDI que se usan en configuraciones, mensajes de registro y parámetros no protegen contra LDAP controlado por atacantes y otros extremos relacionados con JNDI. Para obtener más información, consulta CVE-2021-44228. Solución: Para obtener información sobre la solución, consulta Vulnerabilidades de seguridad de Apache Log4j. |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
MantisBT hasta la versión 2.3.0 permite el restablecimiento de contraseñas arbitrario y el acceso de administrador no autenticado al proporcionar un valor confirm_hash vacío a verify.php .
Solución: Actualiza MantisBT a una versión más reciente o sigue las instrucciones de Mantis para aplicar una corrección de seguridad crítica. |
2021 A06 2017 A9 |
OGNL_RCE
|
Las instancias del servidor de Confluence y del centro de datos contienen una vulnerabilidad de inyección de OGNL que permite que un atacante no autenticado ejecute código arbitrario. Para obtener más información, consulta CVE-2021-26084. Solución: Para obtener información sobre la solución, consulta Inyección de OGNL de Confluence Server Webwork: CVE-2021-26084. |
2021 A03 2017 A1 |
OPENAM_RCE
|
OpenAM Server 14.6.2 y versiones anteriores, y ForgeRock AM Server 6.5.3 y versiones anteriores tienen una vulnerabilidad de deserialización de Java en el parámetro Solución: Actualiza a una versión más reciente. Para obtener más información sobre la solución de ForgeRock, consulta el Aviso de seguridad de AM n° 202104. |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
Algunas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad que se puede aprovechar fácilmente permite que un atacante no autenticado con acceso a la red a través de HTTP comprometa un servidor Oracle WebLogic. Los ataques exitosos de esta vulnerabilidad pueden provocar la apropiación de Oracle WebLogic Server. Para obtener más información, consulta CVE-2020-14882. Solución: Para obtener información sobre los parches, consulta el Aviso de actualización de parches críticos de Oracle, octubre de 2020. |
2021 A06 y A07 2017 A2 y A9 |
PHPUNIT_RCE
|
Las versiones de
PHUnit anteriores a la 5.6.3 permiten la ejecución de código remoto con una sola solicitud POST sin autenticar.
Solución: Actualiza a versiones más recientes de PHPUnit. |
2021: A05 2017: A6 |
PHP_CGI_RCE
|
Las versiones de
PHP anteriores a la 5.3.12 y las versiones 5.4.x anteriores a 5.4.2, cuando se configuran como una secuencia de comandos de CGI, permiten la ejecución remota de código. El código vulnerable no controla correctamente las cadenas de consulta que no tienen un carácter = (signo igual). Esto permite a los atacantes agregar opciones de línea de comandos que se ejecutan en el servidor.
Solución: Instala una versión alternativa de PHP. |
2021 A05 y A06 2017 A6 y A9 |
PORTAL_RCE
|
La deserialización de datos no confiables en las versiones del
Portal Liferay anteriores a 7.2.1 CE GA2 permite a los atacantes remotos ejecutar código arbitrario a través de servicios web JSON.
Solución: Actualiza a las versiones más recientes del portal de Liferay. |
2021 A06 y A08 2017 A8, A9 |
REDIS_RCE
|
Si una instancia de Redis no requiere autenticación para ejecutar comandos de administrador, es posible que los atacantes puedan ejecutar código arbitrario. Solución: Configura Redis para que requiera autenticación. |
2021 A01 y A05 2017 A5 y A6 |
SOLR_FILE_EXPOSED
|
La autenticación no está habilitada en Apache Solr, un servidor de búsqueda de código abierto. Cuando Apache Solr no requiere autenticación, un atacante puede elaborar directamente una solicitud para habilitar una configuración específica y, en última instancia, implementar una falsificación de solicitudes del servidor (SSRF) o leer archivos arbitrarios. Solución: Actualiza a versiones alternativas de Apache Solr. |
2021 A07 y A10 2017 A2 |
SOLR_RCE
|
Las versiones 5.0.0 de
Apache Solr a Apache Solr 8.3.1 son vulnerables a la ejecución de código remoto mediante VelocityResponseWriter si params.resource.loader.enabled se establece en true . Esto permite que los atacantes creen un parámetro que contenga una plantilla de velocidad maliciosa.
Solución: Actualiza a versiones alternativas de Apache Solr. |
2021 A06 2017 A9 |
STRUTS_RCE
Esta categoría incluye tres vulnerabilidades en Apache Struts. Varios hallazgos de este tipo pueden indicar más de una vulnerabilidad. |
Las versiones de
Apache Struts anteriores a la 2.3.32 y la 2.5.x anteriores a la 2.5.10.1 son vulnerables a la ejecución de código remoto. Un atacante no autenticado que proporciona un encabezado Content-Type elaborado puede activar la vulnerabilidad.
Solución: Instala una versión alternativa de Apache Struts. |
2021 A06 2017 A9 |
El
complemento de REST en las versiones 2.1.1 a 2.3.x de Apache Struts antes de la 2.3.34 y 2.5.x antes de la 2.5.13 son vulnerables a la ejecución de código remoto durante la deserialización de cargas útiles XML creadas.
Solución: Instala una versión alternativa de Apache Struts. |
2021 A06 y A08 2017 A8, A9 |
|
Apache Struts Las versiones 2.3 a 2.3.34 y 2.5 a 2.5.16 son vulnerables a la ejecución remota de código cuandoalwaysSelectFullNamespace se configura comotrue y ciertas configuraciones de acción existen.
Solución: Instala la versión 2.3.35 o 2.5.17. |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Las versiones 9.x de
Apache Tomcat 9.x anteriores a 9.0.31, 8.x antes de 8.5.51, 7.x antes de 7.0.100 y todas 6.x son vulnerables al código fuente y a la divulgación de la configuración a través de un conector de protocolo de Apache JServ expuesto. En algunos casos, se aprovecha esta opción para ejecutar código remoto si se permite la carga de archivos.
Solución: Actualiza a versiones alternativas de Apache Tomcat. |
2021 A06 2017 A3 y A9 |
VBULLETIN_RCE
|
Los servidores
vBulletin que ejecutan versiones 5.0.0 hasta 5.5.4 son vulnerables a la ejecución de código remoto. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante un parámetro de consulta en una solicitud routestring .
Solución: Actualiza a versiones alternativas de VMware vCenter Server. |
2021 A03 y A06 2017 A1 y A9 |
VCENTER_RCE
|
Las versiones 7.x de
VMware vCenter Server anteriores a 7.0 U1c, 6.7 antes de 6.7 U3l y 6.5 antes de U3n 6.5 son vulnerables a la ejecución de código remoto. Esta vulnerabilidad se puede activar si un atacante sube un archivo creado de Java Server Pages a un directorio al que se puede acceder desde la Web y, luego, activa la ejecución de ese archivo.
Solución: Actualiza a versiones alternativas de VMware vCenter Server. |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
Algunas versiones del producto Oracle WebLogic Server de Oracle Fusion Middleware (componente: Console) contienen una vulnerabilidad de ejecución de código remoto, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad está relacionada con CVE-2020-14750, CVE-2020-14882 y CVE-2020-14883. Para obtener más información, consulta CVE-2020-14883. Solución: Para obtener información sobre los parches, consulta el Aviso de actualización de parches críticos de Oracle, octubre de 2020. |
2021 A06 y A07 2017 A2 y A9 |
Ejemplo de resultado
Los resultados de la Detección rápida de vulnerabilidades se pueden exportar en JSON con el panel de Security Command Center, Google Cloud CLI o la API de Security Command Center. La salida de JSON para los resultados es similar a lo siguiente:
{
"finding": {
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "WEAK_CREDENTIALS",
"compliances": [
{
"ids": [
"A2"
],
"standard": "owasp",
"version": "2017"
},
{
"ids": [
"A07"
],
"standard": "owasp",
"version": "2021"
}
],
"contacts": {
"security": {
"contacts": [
{
"email": "EMAIL_ADDRESS_1"
},
{
"email": "EMAIL_ADDRESS_2"
}
]
},
"technical": {
"contacts": [
{
"email": "EMAIL_ADDRESS_3"
}
]
}
},
"createTime": "2021-08-19T06:26:20.038Z",
"description": "Well known or weak credentials have been detected.",
"eventTime": "2022-06-24T19:21:22.783Z",
"findingClass": "MISCONFIGURATION",
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"severity": "CRITICAL",
"sourceProperties": {
"description": "Well known or weak credentials have been detected.",
"targets": [
{
"ipv4Address": {
"address": "IP_ADDRESS",
"subnetMask": 32
},
"port": PORT_NUMBER,
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_NAME/instances/VM_NAME",
"transportProtocol": "TCP"
}
]
},
"state": "ACTIVE"
},
"resource": {
"displayName": "PROJECT_NAME",
"name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parentDisplayName": "ORGANIZATION_NAME",
"parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
"projectDisplayName": "PROJECT_NAME",
"projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"type": "google.cloud.resourcemanager.Project"
}
}
En el ejemplo anterior, se usan las siguientes variables de marcador de posición:
EMAIL_ADDRESS_[N]
: Las direcciones de correo electrónico de las personas o entidades a las que se notificará cuando se detecte un resultado.FINDING_ID
: Es un valor único que identifica el resultado.IP_ADDRESS
: La dirección IP en la que se detectó la vulnerabilidad.ORGANIZATION_ID
: Es el identificador de la organización en la que se encontró la vulnerabilidad.ORGANIZATION_NAME
: Es el nombre de la organización en la que se encontró la vulnerabilidad.PORT_NUMBER
: El número de puerto en el que se detectó la vulnerabilidad.PROJECT_ID
: Es el identificador alfanumérico del proyecto en el que se encontró la vulnerabilidad.PROJECT_NUMBER
: Es el identificador numérico del proyecto en el que se encontró la vulnerabilidad.SOURCE_ID
: El ID numérico, que es único dentro de la organización, que identifica el servicio de Security Command Center que detectó la vulnerabilidad.VM_NAME
: La máquina virtual (VM) de Compute Engine en la que se detectó la vulnerabilidad.ZONE_NAME
: Es la zona de Compute Engine en la que se encuentra el destino del análisis.
prácticas recomendadas
Debido a que la Detección rápida de vulnerabilidades intenta acceder a las VM y accede a las interfaces de usuario de administrador expuestas, podría acceder a datos sensibles o afectar tus recursos con resultados no deseados. Usa la Detección rápida de vulnerabilidades para analizar los recursos de prueba y, si es posible, evita usar el servicio en entornos de producción.
Puedes usar las siguientes recomendaciones para proteger tus recursos:
- Ejecuta análisis en un entorno de prueba. Crea un proyecto de Compute Engine por separado y carga allí tu aplicación y tus datos. Si usas Google Cloud CLI, puedes especificar el proyecto de destino como una opción de línea de comandos cuando subas tu app.
- Utiliza una cuenta de prueba. Crea una cuenta de usuario que no tenga acceso a datos sensibles ni a operaciones dañinas, y úsala cuando analices tus VMs.
- Crea una copia de seguridad de los datos. Considera hacer una copia de seguridad de tus datos antes de realizar análisis.
- Analizar recursos que no son de producción Ejecuta análisis en recursos que no son de producción para detectar vulnerabilidades antes de implementarlos en producción.
Antes de realizar un análisis, revisa cuidadosamente tu aplicación para detectar cualquier característica que pueda afectar los datos, usuarios o sistemas más allá del alcance deseado de tu análisis.
¿Qué sigue?
- Para obtener instrucciones sobre cómo habilitar y usar la Detección rápida de vulnerabilidades, consulta Usa la Detección rápida de vulnerabilidades.
- Para obtener más información sobre las pruebas, consulta Cómo probar la Detección rápida de vulnerabilidades.