Diese Seite bietet einen Überblick über Rapid Vulnerability Detection, einschließlich:
- Die Scanziele, die von Rapid Vulnerability Detection unterstützt werden
- Die Arten von Scans, die von Rapid Vulnerability Detection durchgeführt werden
- Die Arten von Sicherheitslücken (Scanergebnisse), die von Rapid Vulnerability Detection erkannt werden
Diese Seite enthält auch einige Best Practices zum Testen von Rapid Vulnerability Detection-Scans.
Überblick
Rapid Vulnerability Detection, ein integrierter Dienst von Security Command Center Premium, ist ein konfigurationsfreier Netzwerk- und Webanwendungen-Scanner, der aktiv öffentliche Endpunkte auf Sicherheitslücken scannt, die mit hoher Wahrscheinlichkeit ausgenutzt werden, wie etwa schwache Anmeldedaten, unvollständige Softwareinstallationen und ungenutzte Administratoroberflächen. Der Dienst erkennt automatisch Netzwerkendpunkte, Protokolle, offene Ports, Netzwerkdienste und installierte Softwarepakete.
Die Ergebnisse der schnellen Sicherheitslückenerkennung sind frühzeitig eine Warnung vor Sicherheitslücken und wir empfehlen Ihnen, diese sofort zu beheben. Sie können die Ergebnisse im Security Command Center ansehen.
Unterstützte Scanziele
Rapid Vulnerability Detection unterstützt die folgenden Ressourcen:
- Compute Engine
- Rapid Vulnerability Detection unterstützt nur VMs mit einer öffentlichen IP-Adresse. VMs, die sich hinter einer Firewall befinden oder keine öffentliche IP-Adresse haben, werden von Scans ausgeschlossen.
- Cloud Load Balancing
- Rapid Vulnerability Detection unterstützt nur externe Load-Balancer.
- Google Kubernetes Engine-Ingress
- Cloud Run
- Rapid Vulnerability Detection scannt Standarddomains, die Cloud Run für Ihre Anwendungen bereitstellt, oder benutzerdefinierte Domains, die für Cloud Run-Dienste hinter externen Load-Balancern konfiguriert sind. Benutzerdefinierte Domains mit integrierter Domainzuordnung werden nicht unterstützt. Standarddomains sind jedoch immer verfügbar, auch wenn die Domainzuordnung verwendet wird.
- App Engine
- Rapid Vulnerability Detection scannt nur Standarddomains, die App Engine für Ihre Anwendungen bereitstellt. Benutzerdefinierte Domains werden nicht unterstützt. Standarddomains sind jedoch immer verfügbar, auch wenn benutzerdefinierte Domains verwendet werden.
Scans
Rapid Vulnerability Detection führt verwaltete Scans aus, die n-tägige Sicherheitslücken erkennen. Dies sind bekannte Sicherheitslücken, die ausgenutzt werden können, um sich willkürlichen Datenzugriff zu verschaffen und Code per Fernzugriff auszuführen. Zu diesen Sicherheitslücken gehören schwache Anmeldedaten, unvollständige Softwareinstallationen und gefährdete Administratoroberflächen.
Wenn Sie den Dienst aktivieren, werden Scans automatisch von Security Command Center konfiguriert und verwaltet. Ihre Sicherheitsteams müssen keine Ziel-URLs angeben oder Scans manuell starten. Rapid Vulnerability Detection verwendet Cloud Asset Inventory, um Informationen zu neuen VMs und Anwendungen in Ihren Projekten abzurufen, und führt einmal pro Woche Scans aus, um öffentliche Endpunkte zu finden und Sicherheitslücken aufzudecken. Der User-Agent, der Rapid Vulnerability Detection ausführt, heißt im Log-Explorer TsunamiSecurityScanner.
Rapid Vulnerability Detection scannt unterstützte Ziele auf offene Ports (HTTP, HTTPS, SSH, MySQL usw.) und wertet Scanziele aus, um Informationen zu installierten Webanwendungen und verfügbaren Netzwerkdiensten zu erhalten. Da die schnelle Sicherheitslückenerkennung mehrere Scans auf öffentlichen Endpunkten durchführt und "Fingerabdruck" verwendet, um bekannte Dienste zu identifizieren, werden Sicherheitslücken mit hohem Risiko und hohem Schweregrad mit einer minimalen falsch positiven Rate gemeldet
Weitere Informationen zu den Scan-Ziel-Assets, die von Rapid Vulnerability Detection unterstützt werden, finden Sie unter Unterstützte Scanziele.
Ergebnisse scannen und Korrekturmaßnahmen
In der folgenden Tabelle sind die Ergebnistypen für die schnelle Sicherheitslückenerkennung und vorgeschlagene Schritte aufgeführt.
Rapid Vulnerability Detection-Scans identifizieren die folgenden Ergebnistypen.
Ergebnistyp | Ergebnisbeschreibung | OWASP-Top-10-Codes |
---|---|---|
Schwache Anmeldedaten | ||
WEAK_CREDENTIALS
|
Dieser Detektor sucht nach schwachen Anmeldedaten mithilfe von Bruch-Force-Methoden vom Typ ncrack. Unterstützte Dienste: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Lösung : Erzwingen Sie eine Richtlinie für starke Passwörter. Erstellen Sie eindeutige Anmeldedaten für Ihre Dienste und vermeiden Sie die Verwendung von Wörterbuchwörtern in Passwörtern. |
2021 A07 2017 A2 |
Ergebnisse der verfügbaren Schnittstelle | ||
ELASTICSEARCH_API_EXPOSED
|
Mit der
Elasticsearch API können Aufrufer beliebige Abfragen ausführen, Skripts schreiben und ausführen sowie dem Dienst weitere Dokumente hinzufügen.
Abhilfe: Entfernen Sie den direkten Zugriff auf die Elasticsearch API, indem Sie Anfragen über eine Anwendung weiterleiten, oder beschränken Sie den Zugriff auf authentifizierte Nutzer. Weitere Informationen finden Sie unter Sicherheitseinstellungen in Elasticsearch. |
2021 A01, A05 2017 A5, A6 |
EXPOSED_GRAFANA_ENDPOINT
|
In Grafana 8.0.0 bis 8.3.0 können Nutzer ohne Authentifizierung auf einen Endpunkt zugreifen, der eine Sicherheitslücke beim Verzeichnisdurchlauf hat, sodass Nutzer beliebige Dateien auf dem Server ohne Authentifizierung lesen können. Weitere Informationen finden Sie unter CVE-2021-43798. Problembehebung : Patchen Sie Grafana oder führen Sie ein Upgrade von Grafana auf eine neuere Version durch. Weitere Informationen finden Sie unter Grafana-Pfaddurchlauf. |
2021 A06, A07 2017 A2, A9 |
EXPOSED_METABASE
|
Die Versionen x.40.0 bis x.40.4 von Metabase, einer Open-Source-Datenanalyseplattform, enthalten eine Sicherheitslücke bei der Unterstützung benutzerdefinierter GeoJSON-Karten und bei der potenziellen Aufnahme von lokalen Dateien, einschließlich Umgebungsvariablen. URLs wurden vor dem Laden nicht überprüft. Weitere Informationen finden Sie unter CVE-2021-41277. Abhilfe:Führen Sie ein Upgrade auf die Wartungsversion 0.40.5 oder höher bzw. 1.40.5 oder höher durch. Weitere Informationen finden Sie unter Die GeoJSON-URL-Validierung kann nicht autorisierten Nutzern Serverdateien und Umgebungsvariablen zur Verfügung stellen. |
2021 A06 2017 A3, A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
Dieser Detektor prüft, ob vertrauliche Bedienelement-Endpunkte von
Spring Boot-Anwendungen verfügbar gemacht werden. Einige der Standardendpunkte wie /heapdump können vertrauliche Informationen enthalten. Andere Endpunkte wie /env können zur Remote-Codeausführung führen.
Derzeit ist nur /heapdump ausgewählt.
Abhilfe : Deaktivieren Sie den Zugriff auf vertrauliche Bedienelementendpunkte. Weitere Informationen finden Sie unter HTTP-Endpunkte sichern. |
2021 A01, A05 2017 A5, A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
Dieser Detektor prüft, ob die
Hadoop Yarn ResourceManager API, die die Rechen- und Speicherressourcen eines Hadoop-Clusters steuert, verfügbar ist und die Ausführung von nicht authentifiziertem Code ermöglicht.
Abhilfe: Verwenden Sie Zugriffssteuerungslisten mit der API. |
2021 A01, A05 2017 A5, A6 |
JAVA_JMX_RMI_EXPOSED
|
Die
Java Management Extension (JMX) ermöglicht Remote-Monitoring und -Diagnose für Java-Anwendungen. Wenn Sie JMX mit einem ungeschützten Remote Methode-Aufrufendpunkt ausführen, können alle Remote-Nutzer eine javax.management.loading.MLet MBean-Datei erstellen und damit neue MBeans aus beliebigen URLs erstellen.
Abhilfe: Informationen zum ordnungsgemäßen Konfigurieren des Remote-Monitoring finden Sie unter Monitoring und Verwaltung mit JMX-Technologie. |
2021 A01, A05 2017 A5, A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
Dieser Detektor prüft, ob ein nicht authentifizierte Jupyter Notebook verfügbar ist. Jupyter ermöglicht Remote-Codeausführung auf dem Hostcomputer.
Ein nicht authentifiziertes Jupyter Notebook setzt die Hosting-VM dem Risiko aus, dass Code per Fernzugriff ausgeführt wird.
Abhilfe : Fügen Sie Ihrem Jupyter Notebook-Server die Tokenauthentifizierung hinzu oder verwenden Sie neuere Versionen von Jupyter Notebook, die standardmäßig die Tokenauthentifizierung verwenden. |
2021 A01, A05 2017 A5, A6 |
KUBERNETES_API_EXPOSED
|
Die
Kubernetes API wird bereitgestellt und kann von nicht authentifizierten Aufrufern aufgerufen werden. Dies ermöglicht die beliebige Codeausführung auf dem Kubernetes-Cluster.
Abhilfe : Legen Sie eine Authentifizierung für alle API-Anfragen fest. Weitere Informationen finden Sie in der Kubernetes API-Anleitung zur Authentifizierung. |
2021 A01, A05 2017 A5, A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
Dieser Detektor prüft, ob eine WordPress-Installation abgeschlossen ist. Nach einer nicht abgeschlossenen WordPress-Installation wird die Seite /wp-admin/install.php sichtbar gemacht. Dadurch kann der Angreifer das Administratorpasswort festlegen und möglicherweise das System kompromittieren.
Abhilfe: Schließen Sie die WordPress-Installation ab. |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
Dieser Detektor sucht nach einer nicht authentifizierten Jenkins-Instanz, indem er einen Prüf-Ping als anonymer Besucher an den /view/all/newJob -Endpunkt sendet. Eine authentifizierte Jenkins-Instanz zeigt das Formular createItem an. Damit können beliebige Jobs erstellt werden, die zur Remote-Codeausführung führen können.
Lösung: Folgen Sie der Jenkins-Anleitung zum Verwalten der Sicherheit, um nicht authentifizierte Zugriffe zu blockieren. |
2021 A01, A05 2017 A5, A6 |
Ergebnisse zu Sicherheitslücken | ||
APACHE_HTTPD_RCE
|
In Apache HTTP Server 2.4.49 wurde eine Schwachstelle festgestellt, die es einem Angreifer ermöglicht, über einen Pfaddurchlauf-Angriff URLs Dateien außerhalb des erwarteten Dokumentenstamms zuzuordnen und die Quelle interpretierter Dateien wie CGI-Skripts zu sehen. Diese Problematik wird bereits in freier Wildbahn ausgenutzt. Dieses Problem betrifft Apache 2.4.49 und 2.4.50, aber keine früheren Versionen. Weitere Informationen zu dieser Sicherheitslücke finden Sie unter: Abhilfe: Schützen Sie Dateien außerhalb des Dokumentenstamms, indem Sie in Apache HTTP Server die Anweisung „require all disapproved“ konfigurieren. |
2021 A01, A06 2017 A5, A9 |
APACHE_HTTPD_SSRF
|
Angreifer können einen URI zum Apache-Webserver erstellen. Dadurch leitet Abhilfe: Führen Sie ein Upgrade des Apache HTTP-Servers auf eine neuere Version durch. |
2021 A06, A10 2017 A9 |
CONSUL_RCE
|
Angreifer können beliebigen Code auf einem Consul-Server ausführen, da die Consul-Instanz mit
Nach der Prüfung wird der Dienst von Rapid Vulnerability Detection mithilfe des REST-Endpunkts Abhilfe : Setzen Sie „enable-script-checks“ in der Konfiguration der Console-Instanz auf |
2021 A05, A06 2017 A6, A9 |
DRUID_RCE
|
Apache Druid bietet die Möglichkeit, von Nutzern bereitgestellten JavaScript-Code auszuführen, der in verschiedene Arten von Anfragen eingebettet ist. Diese Funktion ist für den Einsatz in Umgebungen mit hoher Vertrauenswürdigkeit vorgesehen und standardmäßig deaktiviert. In Druid 0.20.0 und früheren Versionen ist es jedoch für einen authentifizierten Nutzer möglich, eine speziell entwickelte Anfrage zu senden, die Druid dazu zwingt, vom Nutzer bereitgestellten JavaScript-Code für diese Anfrage auszuführen, unabhängig von der Serverkonfiguration. Dies kann genutzt werden, um Code mit den Berechtigungen des Druid-Serverprozesses auf dem Zielcomputer auszuführen. Weitere Informationen finden Sie unter CVE-2021-25646 Detail. Abhilfe : Führen Sie ein Upgrade von Apache Druid auf eine höhere Version durch. |
2021 A05, A06 2017 A6, A9 |
DRUPAL_RCE
Diese Kategorie umfasst zwei Sicherheitslücken in Drupal. Mehrere Ergebnisse dieses Typs können auf mehr als eine Sicherheitslücke hinweisen. |
Drupal-Versionen vor 7.58, 8.x vor 8.3.9, 8.4.x vor 8.4.6 und 8.5.x vor 8.5.1 sind anfällig für die Remote-Code-Ausführung auf AJAX-Anfragen über Form API.
Abhilfe: Führen Sie ein Upgrade auf alternative Drupal-Versionen durch. |
2021 A06 2017 A9 |
Die
Drupal-Versionen 8.5.x vor 8.5.11 und 8.6.x vor 8.6.10 sind anfällig für die Remote-Codeausführung, wenn entweder das RESTful Web Service-Modul oder die JSON:API aktiviert ist. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer mithilfe einer benutzerdefinierten POST-Anfrage ausgenutzt werden.
Abhilfe: Führen Sie ein Upgrade auf alternative Drupal-Versionen durch. |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Durch eine Sicherheitslücke in
Apache Flink-Versionen 1.11.0, 1.11.1 und 1.11.2 können Angreifer jede Datei im lokalen Dateisystem des JobManagers über die REST-Schnittstelle lesen des JobManager-Prozesses. Der Zugriff ist auf Dateien beschränkt, auf die über den JobManager-Prozess zugegriffen werden kann.
Abhilfe: Wenn Ihre Flink-Instanzen gefährdet sind, führen Sie ein Upgrade auf Flink 1.11.3 oder 1.12.0 durch. |
2021 A01, A05, A06 2017 A5, A6, A9 |
GITLAB_RCE
|
Ab Version 11.9 von GitLab Community Edition (CE) und Enterprise Edition (EE) validiert GitLab Bilddateien, die an einen Dateiparser übergeben werden, nicht ordnungsgemäß. Ein Angreifer kann diese Sicherheitslücke für die Remoteausführung von Befehlen ausnutzen. Abhilfe: Führen Sie ein Upgrade auf GitLab CE oder EE Release 13.10.3, 13.9.6 und 13.8.8 oder höher aus. Weitere Informationen finden Sie unter Maßnahmen für selbstverwaltete Kunden als Reaktion auf CVE-2021-22205 erforderlich. |
2021 A06 2017 A9 |
GoCD_RCE
|
In GoCD 21.2.0 und früheren Versionen gibt es einen Endpunkt, auf den ohne Authentifizierung zugegriffen werden kann. Dieser Endpunkt hat eine Sicherheitslücke beim Verzeichnisdurchlauf, durch die Nutzer jede Datei auf dem Server ohne Authentifizierung lesen können. Abhilfe: Führen Sie ein Upgrade auf Version 21.3.0 oder höher durch. Weitere Informationen finden Sie in den Versionshinweisen von GoCD 21.3.0. |
2021 A06, A07 2017 A2, A9 |
JENKINS_RCE
|
Die
Jenkins-Versionen 2.56 und früher sowie 2.46.1 LTS und niedriger sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer ausgelöst werden, der ein schädliches serielles Java-Objekt verwendet.
Abhilfe : Installieren Sie eine alternative Jenkins-Version. |
2021 A06, A08 2017 A8, A9 |
JOOMLA_RCE
Diese Kategorie enthält zwei Sicherheitslücken in Joomla. Mehrere Ergebnisse dieses Typs können auf mehr als eine Sicherheitslücke hinweisen. |
Die
Joomla-Versionen 1.5.x, 2.x und 3.x vor 3.4.6 sind anfällig für die Remote-Codeausführung. Diese Sicherheitslücke kann mit einem erstellten Header mit seriellen PHP-Objekten ausgelöst werden.
Problembehebung : Installieren Sie eine alternative Joomla-Version. |
2021 A06, A08 2017 A8, A9 |
Joomla-Versionen 3.0.0 bis 3.4.6 sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann durch Senden einer POST-Anfrage ausgelöst werden, die ein fertiges, serielles PHP-Objekt enthält.
Problembehebung : Installieren Sie eine alternative Joomla-Version. |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
In Apache Log4j2 2.14.1 und früheren Versionen schützen JNDI-Features, die in Konfigurationen, Lognachrichten und Parametern verwendet werden, nicht vor von einem Angreifer gesteuerten LDAP- und anderen JNDI-bezogenen Endpunkten. Weitere Informationen finden Sie unter CVE-2021-44228. Lösung: Informationen zur Abhilfe finden Sie unter Apache Log4j-Sicherheitslücken. |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
MantisBT durch Version 2.3.0 ermöglicht das Zurücksetzen von Passwörtern und nicht authentifizierten Administratorzugriff. Dazu wird verify.php ein leerer Wert confirm_hash bereitgestellt.
Lösung : Aktualisieren Sie MantisBT auf eine neuere Version oder folgen Sie der Anleitung von Mantis, um ein kritisches Sicherheitsupdate anzuwenden. |
2021 A06 2017 A9 |
OGNL_RCE
|
Server- und Rechenzentrumsinstanzen von Confluence enthalten eine OGNL-Injection-Sicherheitslücke, über die nicht authentifizierte Angreifer beliebigen Code ausführen können. Weitere Informationen finden Sie unter CVE-2021-26084. Abhilfe: Informationen zur Abhilfe finden Sie unter Confluence Server Webwork OGNL-Einschleusung – CVE-2021-26084. |
2021 A03 2017 A1 |
OPENAM_RCE
|
Der OpenAM-Server 14.6.2 und niedriger und ForgeRock AM Server 6.5.3 und niedriger haben eine Sicherheitslücke in der Java-Deserialisierung im Parameter Abhilfe:Führen Sie ein Upgrade auf eine neuere Version durch. Informationen zur Abhilfe durch ForgeRock finden Sie unter AM Security Advisory #202104. |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
Bestimmte Versionen des Oracle WebLogic Server-Produkts von Oracle Fusion Middleware (Komponente: Console) enthalten eine Sicherheitslücke, darunter die Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0. Diese leicht ausnutzbare Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer, der über HTTP Netzwerkzugriff hat, einen Oracle WebLogic Server zu missbrauchen. Erfolgreiche Angriffe dieser Sicherheitslücke können zu einer Übernahme von Oracle WebLogic Server führen. Weitere Informationen finden Sie unter CVE-2020-14882. Abhilfe: Informationen zu Patches finden Sie unter Oracle – Beratung zu kritischen Patchupdates – Oktober 2020. |
2021 A06, A07 2017 A2, A9 |
PHPUNIT_RCE
|
PHPUnit-Versionen vor 5.6.3 ermöglichen die Ausführung von Remote-Code mit einer einzelnen nicht authentifizierten POST-Anfrage.
Abhilfe : Führen Sie ein Upgrade auf neuere PHPUnit-Versionen durch. |
2021: A05 2017: A6 |
PHP_CGI_RCE
|
PHP-Versionen vor 5.3.12 und Versionen 5.4.x vor 5.4.2 ermöglichen die Remote-Ausführung von Code, wenn sie als CGI-Skript konfiguriert sind. Der gefährdete Code verarbeitet Abfragestrings, denen das Zeichen = (Gleichheitszeichen) fehlt, nicht richtig. Dadurch können Angreifer Befehlszeilenoptionen hinzufügen, die auf dem Server ausgeführt werden.
Abhilfe : Installieren Sie eine alternative PHP-Version. |
2021 A05, A06 2017 A6, A9 |
PORTAL_RCE
|
Die Deserialisierung nicht vertrauenswürdiger Daten in Versionen des
Liferay-Portals vor Version 7.2.1 CE GA2 ermöglicht Remote-Angriffen die Ausführung von beliebigem Code über JSON-Webdienste.
Abhilfe : Führen Sie ein Upgrade auf neuere Liferay-Portal-Versionen durch. |
2021 A06, A08 2017 A8, A9 |
REDIS_RCE
|
Wenn für eine Redis-Instanz keine Authentifizierung zum Ausführen von Administratorbefehlen erforderlich ist, können Angreifer möglicherweise beliebigen Code ausführen. Abhilfe: Konfigurieren Sie Redis so, dass eine Authentifizierung erforderlich ist. |
2021 A01, A05 2017 A5, A6 |
SOLR_FILE_EXPOSED
|
Die Authentifizierung ist im Open-Source-Suchserver Apache Solr nicht aktiviert. Wenn Apache Solr keine Authentifizierung erfordert, kann ein Angreifer direkt eine Anfrage zur Aktivierung einer bestimmten Konfiguration erstellen und schließlich eine serverseitige Anfragefälschung (SSRF) implementieren oder beliebige Dateien lesen. Abhilfe : Führen Sie ein Upgrade auf alternative Apache Solr-Versionen durch. |
2021 A07, A10 2017 A2 |
SOLR_RCE
|
Die
Apache Solr-Versionen 5.0.0 bis Apache Solr 8.3.1 sind anfällig für die Remote-Codeausführung über VelocityResponseWriter, wenn params.resource.loader.enabled auf true gesetzt ist. Dadurch können Angreifer einen Parameter erstellen, der eine schädliche Velocity-Vorlage enthält.
Abhilfe : Führen Sie ein Upgrade auf alternative Apache Solr-Versionen durch. |
2021 A06 2017 A9 |
STRUTS_RCE
Diese Kategorie umfasst drei Sicherheitslücken in Apache Struts. Mehrere Ergebnisse dieses Typs können auf mehr als eine Sicherheitslücke hinweisen. |
Apache Struts-Versionen vor 2.3.32 und 2.5.x vor 2.5.10.1 sind für die Remote-Codeausführung anfällig. Die Sicherheitslücke kann von einem nicht authentifizierten Angreifer ausgelöst werden, der einen erstellten Content-Type-Header bereitstellt.
Abhilfe : Installieren Sie eine alternative Apache Struts-Version. |
2021 A06 2017 A9 |
Das
REST-Plug-in in den Apache Struts-Versionen 2.1.1 bis 2.3.x vor 2.3.34 und 2.5.x vor 2.5.13 ist anfällig für die Remote-Codeausführung, wenn erstellte XML-Nutzlasten deserialisiert werden.
Abhilfe : Installieren Sie eine alternative Apache Struts-Version. |
2021 A06, A08 2017 A8, A9 |
|
Die
Apache Struts-Versionen 2.3 bis 2.3.34 und 2.5 bis 2.5.16 sind für die Ausführung von Remote-Code anfällig, wenn alwaysSelectFullNamespace auf true gesetzt ist und bestimmte Es sind noch andere Aktionskonfigurationen vorhanden.
Problembehebung : Installieren Sie Version 2.3.35 oder 2.5.17. |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Apache Tomcat-Versionen 9.x vor 9.0.31, 8.x vor 8.5.51, 7.x vor 7.0.100 und alle 6.x sind anfällig für Quellcode und die Offenlegung der Konfiguration über einen bereitgestellten Apache JServ Protocol-Connector. In manchen Fällen wird diese Funktion für die Ausführung von Remote-Code verwendet, wenn das Hochladen von Dateien erlaubt ist.
Abhilfe:Führen Sie ein Upgrade auf alternative Apache Tomcat-Versionen durch. |
2021 A06 2017 A3, A9 |
VBULLETIN_RCE
|
Bei
vBulletin-Servern, auf denen die Versionen 5.0.0 bis 5.5.4 ausgeführt werden, kann die Ausführung von Remote-Code nicht ausgeführt werden. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer ausgenutzt werden, der einen Abfrageparameter in einer routestring -Anfrage verwendet.
Abhilfe: Führen Sie ein Upgrade auf alternative VMware vCenter Server-Versionen durch. |
2021 A03, A06 2017 A1, A9 |
VCENTER_RCE
|
VMware vCenter Server-Versionen 7.x vor 7.0 U1c, 6.7 vor 6.7 U3l
und 6.5 vor 6.5 U3n sind anfällig für die Remote-Codeausführung. Diese Sicherheitslücke kann ausgelöst werden, wenn ein Angreifer eine erstellte Java-Serverseiten-Datei in ein über das Internet zugängliches Verzeichnis hochlädt und dann die Ausführung dieser Datei auslöst.
Abhilfe: Führen Sie ein Upgrade auf alternative VMware vCenter Server-Versionen durch. |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
Bestimmte Versionen des Oracle WebLogic Server-Produkts von Oracle Fusion Middleware (Komponente: Console) enthalten eine Sicherheitslücke bei der Remote-Codeausführung, darunter die Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.0.1.1. Diese Sicherheitslücke hängt mit CVE-2020-14750, CVE-2020-14882 und CVE-2020-14883 zusammen. Weitere Informationen finden Sie unter CVE-2020-14883. Abhilfe: Informationen zu Patches finden Sie unter Oracle – Beratung zu kritischen Patchupdates – Oktober 2020. |
2021 A06, A07 2017 A2, A9 |
Ergebnisbeispiel
Die Ergebnisse von Rapid Vulnerability Detection können mit dem Security Command Center-Dashboard, der Google Cloud CLI oder der Security Command Center API in JSON exportiert werden. Die JSON-Ausgabe für Ergebnisse sieht in etwa so aus:
{
"finding": {
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "WEAK_CREDENTIALS",
"compliances": [
{
"ids": [
"A2"
],
"standard": "owasp",
"version": "2017"
},
{
"ids": [
"A07"
],
"standard": "owasp",
"version": "2021"
}
],
"contacts": {
"security": {
"contacts": [
{
"email": "EMAIL_ADDRESS_1"
},
{
"email": "EMAIL_ADDRESS_2"
}
]
},
"technical": {
"contacts": [
{
"email": "EMAIL_ADDRESS_3"
}
]
}
},
"createTime": "2021-08-19T06:26:20.038Z",
"description": "Well known or weak credentials have been detected.",
"eventTime": "2022-06-24T19:21:22.783Z",
"findingClass": "MISCONFIGURATION",
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"severity": "CRITICAL",
"sourceProperties": {
"description": "Well known or weak credentials have been detected.",
"targets": [
{
"ipv4Address": {
"address": "IP_ADDRESS",
"subnetMask": 32
},
"port": PORT_NUMBER,
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_NAME/instances/VM_NAME",
"transportProtocol": "TCP"
}
]
},
"state": "ACTIVE"
},
"resource": {
"displayName": "PROJECT_NAME",
"name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parentDisplayName": "ORGANIZATION_NAME",
"parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
"projectDisplayName": "PROJECT_NAME",
"projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"type": "google.cloud.resourcemanager.Project"
}
}
Im vorherigen Beispiel werden die folgenden Platzhaltervariablen verwendet:
EMAIL_ADDRESS_[N]
: die E-Mail-Adressen der natürlichen oder juristischen Personen, die benachrichtigt werden sollen, wenn ein Ergebnis erkannt wird.FINDING_ID
: Ein eindeutiger Wert, der das Ergebnis identifiziert.IP_ADDRESS
: die IP-Adresse, unter der die Sicherheitslücke erkannt wurde.ORGANIZATION_ID
: die Kennung der Organisation, in der die Sicherheitslücke gefunden wurde.ORGANIZATION_NAME
: der Name der Organisation, in der die Sicherheitslücke gefunden wurde.PORT_NUMBER
: die Portnummer, an der die Sicherheitslücke erkannt wurde.PROJECT_ID
: die alphanumerische Kennung des Projekts, in dem die Sicherheitslücke gefunden wurde.PROJECT_NUMBER
: die numerische Kennung des Projekts, in dem die Sicherheitslücke gefunden wurde.SOURCE_ID
: die numerische ID, die in Ihrer Organisation eindeutig ist und den Security Command Center-Dienst identifiziert, der die Sicherheitslücke erkannt hat.VM_NAME
: die virtuelle Maschine (VM) von Compute Engine, auf der die Sicherheitslücke erkannt wurde.ZONE_NAME
: die Compute Engine-Zone, in der sich das Scanziel befindet.
Best Practices
Da die schnelle Sicherheitslückenerkennung versucht, sich bei VMs anzumelden und auf offengelegte Benutzeroberflächen des Administrators zuzugreifen, kann es potenziell zu unerwünschten Daten kommen oder Ihre Ressourcen mit unerwünschten Ergebnissen beeinträchtigen. Verwenden Sie die schnelle Sicherheitslückenerkennung, um Testressourcen zu scannen und den Dienst nach Möglichkeit nicht in Produktionsumgebungen zu verwenden.
Die folgenden Empfehlungen können verwendet werden, um Ihre Ressourcen zu schützen:
- Scans in einer Testumgebung ausführen. Erstellen Sie ein separates Compute Engine-Projekt und laden Sie die Anwendung und die Daten dort. Wenn Sie die Google Cloud CLI verwenden, können Sie beim Hochladen der Anwendung das Zielprojekt als Befehlszeilenoption angeben.
- Testkonto verwenden. Erstellen Sie ein Nutzerkonto ohne Zugriff auf sensible Daten oder schädliche Vorgänge und verwenden Sie es beim Scannen Ihrer VMs.
- Sichern Sie Ihre Daten. Es wird empfohlen, Daten vor einem Scan zu sichern.
- Scannen Sie nicht-Produktionsressourcen. Führen Sie Scans für Nicht-Produktionsressourcen aus, um Sicherheitslücken zu erkennen, bevor Sie sie in der Produktion bereitstellen.
Prüfen Sie Ihre Anwendung vor dem Scan sorgfältig auf Funktionen, die über den gewünschten Scanumfang hinausgehen und dadurch Daten, Nutzer oder Systeme beeinträchtigen könnten.
Nächste Schritte
- Eine Anleitung zum Aktivieren und Verwenden von Rapid Vulnerability Detection finden Sie unter Rapid Vulnerability Detection verwenden.
- Informationen zu Tests finden Sie unter Rapid Vulnerability Detection testen.