Présentation de Rapid Vulnerability Detection

Cette page présente la détection rapide des failles, y compris:

L'analyse cible la détection rapide des failles.
Types d'analyses effectués par la détection rapide des failles
Types de failles (résultats d'analyse) détectés par la détection rapide des failles

Cette page présente également des bonnes pratiques pour tester les analyses de détection rapide des failles.

Présentation

Rapid Vulnerability Detection, un service intégré à Security Command Center Premium, est un outil d'analyse réseau et d'applications Web sans configuration qui analyse activement les points de terminaison publics pour détecter les failles susceptibles d'être exploitées, telles que les identifiants faibles, les installations logicielles incomplètes et les interfaces utilisateur administrateur exposées. Le service détecte automatiquement les points de terminaison du réseau, les protocoles, les ports ouverts, les services réseau et les packages logiciels installés.

Les résultats de la détection rapide des failles sont des avertissements précoces concernant les failles que nous vous recommandons de corriger immédiatement. Vous pouvez consulter les résultats dans Security Command Center.

Cibles d'analyse compatibles

La détection rapide des failles est compatible avec les ressources suivantes:

Compute Engine
- La détection rapide des failles n'est compatible qu'avec les VM disposant d'une adresse IP publique. Les VM protégées par un pare-feu ou qui n'ont pas d'adresse IP publique sont exclues des analyses.
Cloud Load Balancing
- La détection rapide des failles n'est compatible qu'avec les équilibreurs de charge externes.
Entrée Google Kubernetes Engine
Cloud Run
- La détection rapide des failles analyse les domaines par défaut fournis par Cloud Run pour vos applications, ou les domaines personnalisés configurés pour les services Cloud Run derrière des équilibreurs de charge externes. Les domaines personnalisés utilisant le mappage de domaine intégré ne sont pas compatibles. Toutefois, les domaines par défaut sont toujours disponibles, même lorsque le mappage de domaine est utilisé.
App Engine
- La détection rapide des failles n'analyse que les domaines par défaut fournis par App Engine pour vos applications. Les domaines personnalisés ne sont pas acceptés. Toutefois, les domaines par défaut sont toujours disponibles, même lorsque des domaines personnalisés sont utilisés.

Analyses

La détection rapide des failles exécute des analyses gérées qui détectent les failles de N jours. Il s'agit de failles connues pouvant être exploitées pour obtenir un accès arbitraire aux données et permettre l'exécution de code à distance. Il peut s'agir d'identifiants faibles, d'installations de logiciels incomplètes et d'interfaces utilisateur d'administrateur exposées.

Lorsque vous activez le service, les analyses sont automatiquement configurées et gérées par Security Command Center. Vos équipes de sécurité n'ont pas besoin de fournir d'URL cibles ni de lancer manuellement des analyses. La détection rapide des failles utilise l'inventaire des éléments cloud pour récupérer des informations sur les nouvelles VM et applications de vos projets, et exécute des analyses une fois par semaine pour trouver des points de terminaison publics et détecter les failles. Le user-agent qui exécute la détection rapide des failles est nommé TsunamiSecurityScanner dans l'explorateur de journaux.

La détection rapide des failles analyse les cibles compatibles pour les ports ouverts (HTTP, HTTPS, SSH, MySQL, etc.) et évalue les cibles d'analyse pour en savoir plus sur les applications Web installées et les services réseau exposés. Étant donné que la détection rapide des failles met en œuvre plusieurs analyses sur les points de terminaison publics et utilise des "empreintes" pour identifier les services connus, les failles à haut risque et à gravité élevée sont signalées avec un taux minimal de faux positifs.

Pour en savoir plus sur les éléments cibles d'analyse compatibles avec la détection rapide des failles, consultez la page Cibles d'analyse compatibles.

Résultats de l'analyse et corrections

Le tableau suivant répertorie les types de résultats de détection rapide des failles et les étapes de résolution suggérées.

Les analyses de détection rapide des failles identifient les types de résultats suivants.

Type de résultat	Description du résultat	10 codes principaux de l'OWASP
Résultats faibles des identifiants
`WEAK_CREDENTIALS`	Ce détecteur recherche les identifiants faibles en utilisant les méthodes de force brute de l'outil ncrack. Services compatibles:SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Solution : appliquez une politique de mot de passe sécurisé. Créez des identifiants uniques pour vos services et évitez d'utiliser des mots du dictionnaire dans les mots de passe.	2021 A07 2017 A2
Résultats de l'interface exposée
`ELASTICSEARCH_API_EXPOSED`	L'API Elasticsearch permet aux appelants d'effectuer des requêtes arbitraires, d'écrire et d'exécuter des scripts et d'ajouter des documents supplémentaires au service. Solution : supprimez l'accès direct à l'API Elasticsearch en acheminant les requêtes via une application, ou limitez l'accès aux utilisateurs authentifiés. Pour en savoir plus, consultez Paramètres de sécurité dans Elasticsearch.	2021 A01, A05 2017 A5, A6
`EXPOSED_GRAFANA_ENDPOINT`	Dans Grafana 8.0.0 à 8.3.0, les utilisateurs peuvent accéder sans authentification à un point de terminaison présentant une faille de traversée de répertoires permettant à n'importe quel utilisateur de lire n'importe quel fichier du serveur sans authentification. Pour en savoir plus, consultez la page CVE-2021-43798. Correction : appliquez un correctif à Grafana ou mettez à niveau Grafana vers une version ultérieure. Pour en savoir plus, consultez l'article Traversée de chemin Grafana.	2021 A06, A07 2017 A2, A9
`EXPOSED_METABASE`	Les versions x.40.0 à x.40.4 de Metabase, une plate-forme d'analyse de données Open Source, contiennent une faille liée à la prise en charge des cartes GeoJSON personnalisées et à l'inclusion potentielle de fichiers locaux, y compris les variables d'environnement. Les URL n'ont pas été validées avant leur chargement. Pour en savoir plus, consultez la page CVE-2021-41277. Correction:passez aux versions de maintenance 0.40.5 ou ultérieures, ou 1.40.5 ou ultérieures. Pour en savoir plus, consultez La validation d'URL GeoJSON peut exposer les fichiers serveur et les variables d'environnement à des utilisateurs non autorisés.	2021 A06 2017 A3, A9
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	Ce détecteur vérifie si les points de terminaison d'actionneur sensibles des applications Spring Boot sont exposés. Certains points de terminaison par défaut, tels que `/heapdump`, peuvent exposer des informations sensibles. D'autres points de terminaison, tels que `/env`, peuvent permettre l'exécution de code à distance. Actuellement, seul `/heapdump` est coché. Solution : désactivez l'accès aux points de terminaison sensibles de l'actionneur. Pour en savoir plus, consultez la page Sécuriser les points de terminaison HTTP.	2021 A01, A05 2017 A5, A6
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	Ce détecteur vérifie si l' API Hadoop Yarn ResourceManager, qui contrôle les ressources de calcul et de stockage d'un cluster Hadoop, est exposée et autorise l'exécution de code non authentifié. Correction : utilisez des listes de contrôle d'accès avec l'API.	2021 A01, A05 2017 A5, A6
`JAVA_JMX_RMI_EXPOSED`	Java Management Extension (JMX) permet la surveillance et le diagnostic à distance des applications Java. L'exécution de JMX avec un point de terminaison d'appel de méthode à distance non protégé permet à tout utilisateur distant de créer un MBean javax.management.loading.MLet et de l'utiliser pour créer de nouveaux MBean à partir d'URL arbitraires. Correction : pour configurer correctement la surveillance à distance, consultez la page Surveillance et gestion à l'aide de la technologie JMX.	2021 A01, A05 2017 A5, A6
`JUPYTER_NOTEBOOK_EXPOSED_UI`	Ce détecteur vérifie si un notebook Jupyter non authentifié est exposé. Jupyter permet l'exécution de code à distance à des fins de développement sur la machine hôte. Un notebook Jupyter non authentifié présente un risque d'exécution de code à distance pour la VM hôte. Correction : ajoutez l'authentification par jeton à votre serveur de notebook Jupyter ou utilisez des versions plus récentes du notebook Jupyter qui utilisent l'authentification par jeton par défaut.	2021 A01, A05 2017 A5, A6
`KUBERNETES_API_EXPOSED`	L'API Kubernetes est exposée et est accessible aux appelants non authentifiés. Cela permet l'exécution de code arbitraire sur le cluster Kubernetes. Correction : exigez l'authentification pour toutes les requêtes API. Pour en savoir plus, consultez le guide sur l' authentification de l'API Kubernetes.	2021 A01, A05 2017 A5, A6
`UNFINISHED_WORDPRESS_INSTALLATION`	Ce détecteur vérifie si une installation WordPress est inachevée. Une installation WordPress inachevée expose la page `/wp-admin/install.php`, ce qui permet au pirate informatique de définir le mot de passe administrateur et, éventuellement, de compromettre le système. Correction : terminez l' installation de WordPress.	2021 A05 2017 A6
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	Ce détecteur vérifie la présence d'une instance Jenkins non authentifiée en envoyant un ping de vérification au point de terminaison `/view/all/newJob` en tant que visiteur anonyme. Une instance Jenkins authentifiée affiche le formulaire `createItem`, ce qui permet de créer des tâches arbitraires susceptibles d'exécuter du code à distance. Solution : suivez le guide Jenkins sur la gestion de la sécurité pour bloquer les accès non authentifiés.	2021 A01, A05 2017 A5, A6
Résultats logiciels vulnérables
`APACHE_HTTPD_RCE`	Une faille a été détectée dans le serveur HTTP 2.4.49 d'Apache : elle permet à un pirate informatique d'utiliser une attaque par traversée de répertoire pour mapper les URL aux fichiers situés en dehors de la racine de document attendue et voir la source des fichiers interprétés, tels que des scripts CGI. Ce problème est connu pour être exploité dans le monde réel. Ce problème concerne Apache 2.4.49 et 2.4.50, mais pas les versions antérieures. Pour en savoir plus sur cette faille, consultez les pages suivantes: Enregistrement CVE-2021-41773 Failles d'Apache HTTP Server 2.4 Correction:protégez les fichiers en dehors de la racine du document en configurant l'instruction "require tous les refus" sur le serveur HTTP Apache.	2021 A01, A06 2017 A5, A9
`APACHE_HTTPD_SSRF`	Les pirates informatiques peuvent créer un URI au serveur Web Apache qui amène `mod_proxy` à transférer la requête à un serveur d'origine choisi par le pirate informatique. Ce problème concerne le serveur HTTP Apache 2.4.48 et les versions antérieures. Pour en savoir plus sur cette faille, consultez les pages suivantes: Enregistrement CVE-2021-40438 Failles d'Apache HTTP Server 2.4 Correction : mettez à niveau le serveur HTTP Apache vers une version ultérieure.	2021 A06, A10 2017 A9
`CONSUL_RCE`	Les pirates informatiques peuvent exécuter du code arbitraire sur un serveur Consul, car l'instance Consul est configurée avec `-enable-script-checks` défini sur `true`, et l'API HTTP Consul n'est pas sécurisée et est accessible sur le réseau. Dans Consul 0.9.0 et versions antérieures, les vérifications de script sont activées par défaut. Pour en savoir plus, consultez Protéger Consul contre les risques RCE dans des configurations spécifiques. Pour détecter cette faille, la détection rapide des failles enregistre un service sur l'instance Consul à l'aide du point de terminaison REST `/v1/health/service`, qui exécute ensuite l'une des opérations suivantes: Une commande `curl` vers un serveur distant en dehors du réseau Un pirate informatique peut utiliser la commande `curl` pour exfiltrer des données du serveur. Une commande `printf` La détection rapide des failles vérifie ensuite le résultat de la commande à l'aide du point de terminaison REST `/v1/health/service`. Après la vérification, la détection rapide des failles effectue un nettoyage et annule l'enregistrement du service à l'aide du point de terminaison REST `/v1/agent/service/deregister/`. Solution : définissez enable-script-checks sur `false` dans la configuration de l'instance de la console.	2021 A05, A06 2017 A6, A9
`DRUID_RCE`	Apache Druid permet d'exécuter du code JavaScript fourni par l'utilisateur intégré dans différents types de requêtes. Cette fonctionnalité est conçue pour être utilisée dans des environnements où la confiance est élevée. Elle est désactivée par défaut. Toutefois, dans Druid 0.20.0 et versions antérieures, un utilisateur authentifié peut envoyer une requête spécialement conçue pour forcer Druid à exécuter du code JavaScript fourni par l'utilisateur pour cette requête, quelle que soit la configuration du serveur. Cela permet d'exécuter du code sur la machine cible avec les privilèges du processus de serveur Druid. Pour en savoir plus, consultez la page détaillée de la faille CVE-2021-25646. Solution : mettez à niveau Apache Druid vers une version ultérieure.	2021 A05, A06 2017 A6, A9
`DRUPAL_RCE` Cette catégorie comprend deux failles dans Drupal. Plusieurs résultats de ce type peuvent indiquer plusieurs failles.	Les versions de Drupal antérieures à la version 7.58, les versions 8.x antérieures à la version 8.3.9, les versions 8.4.x antérieures à la version 8.4.6 et les versions 8.5.x antérieures à la version 8.5.1 sont vulnérables à l'exécution de code à distance sur les requêtes AJAX de l'API Forms. Solution : passez à d'autres versions de Drupal.	2021 A06 2017 A9
	Les versions de Drupal 8.5.x antérieures à la version 8.5.11 et les versions 8.6.x antérieures à la version 8.6.10 sont vulnérables à l'exécution de code à distance lorsque le module de services Web RESTful ou JSON:API sont activés. Cette faille peut être exploitée par un pirate informatique non authentifié à l'aide d'une requête POST personnalisée. Solution : passez à d'autres versions de Drupal.	2021 A06 2017 A9
`FLINK_FILE_DISCLOSURE`	Une faille dans les versions 1.11.0, 1.11.1 et 1.11.2 d'Apache Flink permet aux pirates informatiques de lire n'importe quel fichier du système de fichiers local de JobManager via l'interface REST du processus JobManager. L'accès est limité aux fichiers accessibles par le processus JobManager. Correction : si vos instances Flink sont exposées, passez à Flink 1.11.3 ou 1.12.0.	2021 A01, A05, A06 2017 A5, A6, A9
`GITLAB_RCE`	Dans GitLab Community Edition (CE) et Enterprise Edition (EE) versions 11.9 et ultérieures, GitLab ne valide pas correctement les fichiers image transmis à un analyseur de fichiers. Un attaquant peut exploiter cette vulnérabilité pour l’exécution de commandes à distance. Correction : passez à GitLab CE ou EE version 13.10.3, 13.9.6, 13.8.8 ou ultérieure. Pour en savoir plus, consultez la page Action requise par les clients autogérés en réponse à la CVE-2021-22205.	2021 A06 2017 A9
`GoCD_RCE`	Dans GoCD 21.2.0 et les versions antérieures, un point de terminaison est accessible sans authentification. Ce point de terminaison présente une faille de traversée de répertoires qui permet à un utilisateur de lire n'importe quel fichier du serveur sans authentification. Correction:effectuez une mise à niveau vers la version 21.3.0 ou une version ultérieure. Pour en savoir plus, consultez les notes de version de GoCD 21.3.0.	2021 A06, A07 2017 A2, A9
`JENKINS_RCE`	Les versions 2.56 et antérieures de Jenkins, ainsi que 2.46.1 LTS et antérieures, sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par un pirate informatique non authentifié à l'aide d'un objet Java sérialisé malveillant. Solution : installez une autre version de Jenkins.	2021 A06, A08 2017 A8, A9
`JOOMLA_RCE` Cette catégorie comprend deux failles dans Joomla. Plusieurs résultats de ce type peuvent indiquer plusieurs failles.	Les versions 1.5.x, 2.x et 3.x antérieures à la version 3.4.6 de Joomla sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par un en-tête conçu contenant des objets PHP sérialisés. Correction : installez une autre version de Joomla.	2021 A06, A08 2017 A8, A9
	Les versions 3.0.0 à 3.4.6 de Joomla sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée en envoyant une requête POST contenant un objet PHP sérialisé conçu. Correction : installez une autre version de Joomla.	2021 A06 2017 A9
`LOG4J_RCE`	Dans Apache Log4j2 2.14.1 et les versions antérieures, les fonctionnalités JNDI utilisées dans les configurations, les messages de journal et les paramètres ne protègent pas contre le LDAP contrôlé par les pirates et les autres points de terminaison associés. Pour en savoir plus, consultez la page CVE-2021-44228. Solution:pour obtenir des informations sur la résolution, consultez la page Failles de sécurité dans Apache Log4j.	2021 A06 2017 A9
`MANTISBT_PRIVILEGE_ESCALATION`	La version 2.3.0 de MantisBT permet la réinitialisation arbitraire du mot de passe et l'accès administrateur non authentifié en fournissant une valeur `confirm_hash` vide à `verify.php`. Correction : mettez à jour MantisBT ou suivez les instructions de Mantis pour appliquer un correctif de sécurité critique.	2021 A06 2017 A9
`OGNL_RCE`	Les instances du serveur Confluence et du centre de données présentent une faille d'injection OGNL qui permet à un pirate informatique non authentifié d'exécuter du code arbitraire. Pour en savoir plus, consultez la page CVE-2021-26084. Correction:pour obtenir des informations sur la résolution, consultez Injection OGNL de Confluence Server Webwork – CVE-2021-26084.	2021 A03 2017 A1
`OPENAM_RCE`	Le serveur OpenAM 14.6.2 et les versions antérieures, ainsi que le serveur ForgeRock AM 6.5.3 et versions antérieures, présentent une faille de désérialisation Java dans le paramètre `jato.pageSession` de plusieurs pages. L'exploitation ne nécessite pas d'authentification, et l'exécution du code à distance peut être déclenchée en envoyant une seule requête `/ccversion/` personnalisée au serveur. La faille existe en raison de l'utilisation de l'application Sun ONE. Pour en savoir plus, consultez la page CVE-2021-35464. Correction*:effectuez une mise à niveau vers une version plus récente. Pour en savoir plus sur la remédiation de ForgeRock, consultez l' avis de sécurité AM 202104.	2021 A06 2017 A9
`ORACLE_WEBLOGIC_RCE`	Certaines versions du serveur Oracle WebLogic d'Oracle Fusion Middleware (composant: console) présentent une faille, y compris les versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0. Cette faille facilement exploitable permet à un pirate informatique non authentifié disposant d'un accès réseau via HTTP de compromettre un serveur Oracle WebLogic. Les attaques réussies de cette faille peuvent entraîner une prise de contrôle d'Oracle WebLogic Server. Pour en savoir plus, consultez la page CVE-2020-14882. Correction:pour obtenir des informations sur le correctif, consultez la page Avis de mise à jour critique d'Oracle - Octobre 2020.	2021 A06, A07 2017 A2, A9
`PHPUNIT_RCE`	Les versions de PHPUnit antérieures à 5.6.3 autorisent l'exécution de code à distance avec une seule requête POST non authentifiée. Correction : passez à des versions plus récentes de PHPUnit.	2021: A05 2017: A6
`PHP_CGI_RCE`	Les versions de PHP antérieures à 5.3.12 et les versions 5.4.x antérieures à la version 5.4.2 (lorsqu'elles sont configurées en tant que script CGI) autorisent l'exécution de code à distance. Le code vulnérable ne gère pas correctement les chaînes de requête sans caractère `=` (signe égal). Cela permet aux pirates informatiques d'ajouter des options de ligne de commande exécutées sur le serveur. Correction : installez une autre version de PHP.	2021 A05, A06 2017 A6, A9
`PORTAL_RCE`	La désérialisation des données non approuvées dans les versions du portail Liferay antérieures à 7.2.1 CE GA2 permet aux pirates informatiques d'exécuter du code arbitrairement et à distance via des services Web JSON. Solution : passez à une version plus récente du portail Liferay.	2021 A06, A08 2017 A8, A9
`REDIS_RCE`	Si une instance Redis ne nécessite pas d'authentification pour exécuter des commandes d'administration, des pirates informatiques peuvent exécuter du code arbitraire. Solution : configurez Redis de façon à exiger une authentification.	2021 A01, A05 2017 A5, A6
`SOLR_FILE_EXPOSED`	L'authentification n'est pas activée dans Apache Solr, un serveur de recherche Open Source. Lorsqu'Apache Solar ne nécessite pas d'authentification, un pirate informatique peut directement élaborer une requête pour activer une configuration spécifique, puis implémenter une falsification de requête côté serveur (SSRF) ou lire des fichiers arbitraires. Correction : passez à d'autres versions d'Apache Solr.	2021 A07, A10 2017 A2
`SOLR_RCE`	Les versions 5.0.0 d' Apache Solr à Apache Solar 8.3.1 sont vulnérables à l'exécution de code à distance via VelocityResponseWriter si `params.resource.loader.enabled` est défini sur `true`. Cela permet aux pirates informatiques de créer un paramètre contenant un modèle de "Velocity" malveillant. Correction : passez à d'autres versions d'Apache Solr.	2021 A06 2017 A9
`STRUTS_RCE` Cette catégorie comprend trois failles dans Apache Struts. Plusieurs résultats de ce type peuvent indiquer plusieurs failles.	Les versions d' Apache Struts antérieures à la version 2.3.32 et les versions 2.5.x antérieures à la version 2.5.10.1 sont vulnérables à l'exécution de code à distance. La faille peut être déclenchée par un pirate informatique non authentifié qui fournit un en-tête Content-Type conçu. Correction : installez une autre version d'Apache Struts.	2021 A06 2017 A9
	Le plug-in REST disponible dans les versions 2.1.1 à 2.3.x antérieures à la version 2.3.34 et dans les versions 2.5.x antérieures à la version 2.5.13 est vulnérable à l'exécution de code à distance lors de la désérialisation des charges utiles XML créées. Correction : installez une autre version d'Apache Struts.	2021 A06, A08 2017 A8, A9
	Les versions 2.3 à 2.3.34 et 2.5 à 2.5.1 d'Apache Struts sont vulnérables à l'exécution de code à distance lorsque `alwaysSelectFullNamespace` est défini sur `true` et que certaines autres configurations d'action sont présentes. Correction : installez la version 2.3.35 ou 2.5.17.	2021 A06 2017 A9
`TOMCAT_FILE_DISCLOSURE`	Les versions d'Apache Tomcat 9.x antérieures à 9.0.31, 8.x antérieures à 8.5.51, 7.x antérieures à 7.0.100 et toutes les versions 6.x sont vulnérables à la divulgation de code source et de configuration sources via un protocole Apache JServ exposé. Dans certains cas, il est utilisé pour exécuter du code à distance si l'importation de fichiers est autorisée. Correction:effectuez la mise à niveau vers d'autres versions d'Apache Tomcat.	2021 A06 2017 A3, A9
`VBULLETIN_RCE`	Les serveurs vBulletin exécutant les versions 5.0.0 à 5.5.4 sont vulnérables à l'exécution de code à distance. Cette faille peut être exploitée par un pirate informatique non authentifié à l'aide d'un paramètre de requête dans une requête `routestring`. Correction : effectuez la mise à niveau vers d'autres versions de VMware vCenter Server.	2021 A03, A06 2017 A1, A9
`VCENTER_RCE`	Les versions VMware vCenter Server 7.x antérieures à la version 7.0 U1c, les versions 6.7 avant la version 6.7 U3l et les versions 6.5 antérieures à la version 6.5 U3n sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par un pirate informatique qui importe un fichier de pages Java Server créé dans un répertoire accessible sur le Web, puis déclenche l'exécution de ce fichier. Correction : effectuez la mise à niveau vers d'autres versions de VMware vCenter Server.	2021 A06 2017 A9
`WEBLOGIC_RCE`	Certaines versions du serveur Oracle WebLogic d'Oracle Fusion Middleware (composant: console) présentent une faille d'exécution de code à distance, y compris les versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0. Cette faille est liée aux failles CVE-2020-14750, CVE-2020-14882 et CVE-2020-14883. Pour en savoir plus, consultez la page CVE-2020-14883. Correction:pour obtenir des informations sur le correctif, consultez la page Avis de mise à jour critique d'Oracle - Octobre 2020.	2021 A06, A07 2017 A2, A9

Exemple de résultat

Les résultats de la détection rapide des failles peuvent être exportés au format JSON à l'aide du tableau de bord Security Command Center, de Google Cloud CLI ou de l'API Security Command Center. La sortie JSON des résultats ressemble à ce qui suit:

  {
    "finding": {
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "WEAK_CREDENTIALS",
      "compliances": [
        {
          "ids": [
            "A2"
          ],
          "standard": "owasp",
          "version": "2017"
        },
        {
          "ids": [
            "A07"
          ],
          "standard": "owasp",
          "version": "2021"
        }
      ],
      "contacts": {
        "security": {
          "contacts": [
            {
              "email": "EMAIL_ADDRESS_1"
            },
            {
              "email": "EMAIL_ADDRESS_2"
            }
          ]
        },
        "technical": {
          "contacts": [
            {
              "email": "EMAIL_ADDRESS_3"
            }
          ]
        }
      },
      "createTime": "2021-08-19T06:26:20.038Z",
      "description": "Well known or weak credentials have been detected.",
      "eventTime": "2022-06-24T19:21:22.783Z",
      "findingClass": "MISCONFIGURATION",
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "securityMarks": {
        "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
      },
      "severity": "CRITICAL",
      "sourceProperties": {
        "description": "Well known or weak credentials have been detected.",
        "targets": [
          {
            "ipv4Address": {
              "address": "IP_ADDRESS",
              "subnetMask": 32
            },
            "port": PORT_NUMBER,
            "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_NAME/instances/VM_NAME",
            "transportProtocol": "TCP"
          }
        ]
      },
      "state": "ACTIVE"
    },
    "resource": {
      "displayName": "PROJECT_NAME",
      "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parentDisplayName": "ORGANIZATION_NAME",
      "parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
      "projectDisplayName": "PROJECT_NAME",
      "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "type": "google.cloud.resourcemanager.Project"
    }
  }

L'exemple précédent utilise les variables d'espace réservé suivantes:

EMAIL_ADDRESS_[N]: adresses e-mail des personnes ou entités à notifier lorsqu'un résultat est détecté.
FINDING_ID: valeur unique qui identifie le résultat.
IP_ADDRESS: adresse IP à laquelle la faille a été détectée.
ORGANIZATION_ID: identifiant de l'organisation dans laquelle la faille a été détectée.
ORGANIZATION_NAME: nom de l'organisation dans laquelle la faille a été détectée.
PORT_NUMBER: numéro de port sur lequel la faille a été détectée.
PROJECT_ID: identifiant alphanumérique du projet dans lequel la faille a été détectée.
PROJECT_NUMBER: identifiant numérique du projet dans lequel la faille a été détectée.
SOURCE_ID: ID numérique, unique au sein de votre organisation, qui identifie le service Security Command Center qui a détecté la faille.
VM_NAME: machine virtuelle (VM) Compute Engine sur laquelle la faille a été détectée.
ZONE_NAME: zone Compute Engine dans laquelle se trouve la cible de l'analyse.

Bonnes pratiques

Étant donné que la détection rapide des failles tente de se connecter aux VM et accède aux interfaces administrateur exposées, elle peut potentiellement accéder aux données sensibles ou avoir un impact sur vos ressources avec des résultats indésirables. Utilisez la détection rapide des failles pour analyser les ressources de test et, si possible, évitez d'utiliser le service dans des environnements de production.

Les recommandations suivantes peuvent être utilisées pour protéger vos ressources :

Exécuter les analyses dans un environnement de test. Créez un projet Compute Engine distinct et chargez-y votre application et vos données. Si vous utilisez la Google Cloud CLI, vous pouvez spécifier le projet cible en tant qu'option de ligne de commande lorsque vous importez votre application.
Utiliser un compte de test. Créez un compte utilisateur qui n'a pas accès à des données sensibles ou à des opérations malveillantes, et utilisez-le lors de l'analyse de vos VM.
Sauvegarder vos données. Pensez à sauvegarder vos données avant de procéder à l'analyse.
Analyser les ressources hors production. Exécutez des analyses sur des ressources hors production pour détecter les failles avant de les déployer en production.

Avant de procéder à l'analyse, effectuez un audit minutieux de votre application afin de détecter tout élément susceptible d'affecter les données ou les systèmes ne faisant pas partie du champ d'application de l'analyse.

Étapes suivantes

Pour obtenir des instructions sur l'activation et l'utilisation de la détection rapide des failles, consultez la page Utiliser la détection rapide des failles.
Pour en savoir plus sur les tests, consultez la page Tester la détection rapide des failles.