Se usó la API de Cloud Translation para traducir esta página.

Descripción general de Rapid Vulnerability Detection

En esta página, se proporciona una descripción general de la Detección rápida de vulnerabilidades, que incluye lo siguiente:

Los objetivos del análisis que admite la Detección rápida de vulnerabilidades
Los tipos de análisis que realiza la Detección rápida de vulnerabilidades
Los tipos de vulnerabilidades (hallazgos del análisis) que detecta la Detección rápida de vulnerabilidades

En esta página, también se incluyen algunas prácticas recomendadas para probar los análisis de Detección rápida de vulnerabilidades.

Descripción general

Rapid Vulnerability Detection, un servicio integrado de Security Command Center Premium, es un escáner de redes y aplicaciones web sin configuración que analiza de forma activa los extremos públicos para detectar vulnerabilidades que tienen una alta probabilidad de ser explotadas, como interfaces de usuario de administrador expuestas, instalaciones de software incompletas y credenciales débiles. El servicio descubre de forma automática extremos de red, protocolos, puertos abiertos, servicios de red y paquetes de software instalados.

Los hallazgos de la Detección rápida de vulnerabilidades son advertencias tempranas de vulnerabilidades que recomendamos que corrijas de inmediato. Puedes ver los resultados en Security Command Center.

Destinos de análisis admitidos

La Detección rápida de vulnerabilidades admite los siguientes recursos:

Compute Engine
- La Detección rápida de vulnerabilidades solo admite VMs que tienen una dirección IP pública. Las VM que están detrás de un firewall o que no tienen una dirección IP pública se excluyen de los análisis.
Cloud Load Balancing
- La Detección rápida de vulnerabilidades solo admite balanceadores de cargas externos.
Entrada de Google Kubernetes Engine
Cloud Run
- La Detección rápida de vulnerabilidades analiza los dominios predeterminados que Cloud Run proporciona para tus aplicaciones o los dominios personalizados configurados para los servicios de Cloud Run detrás de los balanceadores de cargas externos. Los dominios personalizados que usan asignaciones de dominios integradas no son compatibles. Sin embargo, los dominios predeterminados siempre están disponibles, incluso cuando se usa la asignación de dominios.
App Engine
- La Detección rápida de vulnerabilidades analiza solo los dominios predeterminados que App Engine proporciona para tus aplicaciones. No se admiten los dominios personalizados. Sin embargo, los dominios predeterminados siempre están disponibles, incluso cuando se usan dominios personalizados.

Análisis

La Detección rápida de vulnerabilidades ejecuta análisis administrados que detectan vulnerabilidades conocidas, que son vulnerabilidades conocidas que se pueden aprovechar para obtener acceso arbitrario a los datos y permitir la ejecución remota de código. Estas vulnerabilidades incluyen credenciales débiles, instalaciones de software incompletas y, además, interfaces de usuario de administrador expuestas.

Cuando habilitas el servicio, Security Command Center configura y administra de forma automática los análisis. Los equipos de seguridad no necesitan proporcionar URL de destino ni iniciar análisis de forma manual. La Detección rápida de vulnerabilidades usa Cloud Asset Inventory para recuperar información sobre VMs y aplicaciones nuevas en tus proyectos y ejecuta análisis una vez a la semana para encontrar extremos públicos y detectar vulnerabilidades. El usuario-agente que ejecuta la Detección rápida de vulnerabilidades se llama TsunamiSecurityScanner en el Explorador de registros.

La Detección rápida de vulnerabilidades analiza los destinos compatibles para puertos abiertos (HTTP, HTTPS, SSH, MySQL y otros) y evalúa los destinos de análisis para obtener más información sobre las aplicaciones web instaladas y los servicios de red expuestos. Debido a que la Detección rápida de vulnerabilidades realiza varios análisis en los extremos públicos y usa “huellas digitales” para identificar los servicios conocidos, las vulnerabilidades de alto riesgo y gravedad alta se informan con una tasa mínima de falsos positivos.

Para obtener más información sobre los recursos de destino de análisis compatibles con la Detección rápida de vulnerabilidades, consulta Destinos de análisis admitidos.

Resultados del análisis y soluciones

En la siguiente tabla, se enumeran los tipos de hallazgos de la Detección rápida de vulnerabilidades y los pasos sugeridos para solucionarlos.

Los análisis de Detección rápida de vulnerabilidades identifican los siguientes tipos de hallazgos.

Tipo de resultado	Descripción del resultado	Los 10 códigos principales de OWASP
Hallazgos de credenciales débiles
`WEAK_CREDENTIALS`	Este detector busca credenciales débiles con métodos de fuerza bruta ncrap. Servicios compatibles: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Solución: Aplica una política de contraseñas segura. Crea credenciales únicas para tus servicios y evita usar palabras del diccionario en las contraseñas.	2021 A07 2017 A2
Hallazgos de la interfaz expuestos
`ELASTICSEARCH_API_EXPOSED`	La API de Elasticsearch permite que los emisores realicen consultas arbitrarias, escriban y ejecuten secuencias de comandos, y agreguen documentos adicionales al servicio. Solución: Para quitar el acceso directo a la API de Elasticsearch, enruta las solicitudes a través de una aplicación o limita el acceso solo a los usuarios autenticados. Para obtener más información, consulta Configuración de seguridad en Elasticsearch.	2021 A01, A05 2017 A5, A6
`EXPOSED_GRAFANA_ENDPOINT`	En Grafana 8.0.0 a 8.3.0, los usuarios pueden acceder sin autenticación a un extremo que tiene una vulnerabilidad de recorrido del directorio que permite a cualquier usuario leer cualquier archivo en el servidor sin autenticación. Para obtener más información, consulta CVE-2021-43798. Solución: Aplica un parche a Grafana o actualiza Grafana a una versión posterior. Para obtener más información, consulta Salto de directorio de Grafana.	2021 A06, A07 2017 A2, A9
`EXPOSED_METABASE`	Las versiones x.40.0 a x.40.4 de Metabase, una plataforma de análisis de datos de código abierto, contienen una vulnerabilidad en la compatibilidad con mapas GeoJSON personalizados y la posible inclusión de archivos locales, incluidas las variables de entorno. Las URLs no se validaron antes de su carga. Para obtener más información, consulta CVE-2021-41277. Solución: Actualiza a las versiones de mantenimiento 0.40.5 o posteriores, o bien 1.40.5 o versiones posteriores. Para obtener más información, consulta La validación de URLs de GeoJSON puede exponer archivos de servidor y variables de entorno a usuarios no autorizados.	2021 A06 2017 A3, A9
`EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT`	Este detector verifica si se exponen los extremos sensibles del actuador de las aplicaciones de Spring Boot. Es posible que algunos de los extremos predeterminados, como `/heapdump`, expongan información sensible. Otros extremos, como `/env`, pueden conducir a la ejecución remota de código. Actualmente, solo `/heapdump` está marcado. Solución: Inhabilita el acceso a los extremos sensibles del actuador. Para obtener más información, consulta Protección de extremos HTTP.	2021 A01, A05 2017 A5, A6
`HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API`	Este detector verifica si la API de Hadoop Yarn ResourceManager, que controla los recursos de procesamiento y almacenamiento de un clúster de Hadoop, está expuesta y permite la ejecución de código no autenticado. Solución: Usa listas de control de acceso con la API.	2021 A01, A05 2017 A5, A6
`JAVA_JMX_RMI_EXPOSED`	Java Management Extension (JMX) permite la supervisión y el diagnóstico remotos de las aplicaciones de Java. La ejecución de JMX con el extremo de invocación de método remoto no protegido permite que cualquier usuario remoto cree un MBean javax.management.loading.MLet y lo use para crear MBeans nuevos a partir de URL arbitrarias. Solución: Para configurar correctamente la supervisión remota, consulta Supervisión y administración con la tecnología JMX.	2021 A01, A05 2017 A5, A6
`JUPYTER_NOTEBOOK_EXPOSED_UI`	Este detector verifica si se expone un Notebook de Jupyter no autenticado. Jupyter permite la ejecución remota de código por diseño en la máquina anfitrión. Un notebook de Jupyter sin autenticar pone a la VM de hosting en riesgo de que se ejecute código de forma remota. Solución: Agrega la autenticación de token a tu servidor de notebooks de Jupyter o usa versiones más recientes de Jupyter Notebook que usen la autenticación con token de forma predeterminada.	2021 A01, A05 2017 A5, A6
`KUBERNETES_API_EXPOSED`	La API de Kubernetes está expuesta y los emisores no autenticados pueden acceder a ella. Esto permite la ejecución de código arbitrario en el clúster de Kubernetes. Solución: Se requiere autenticación para todas las solicitudes a la API. Para obtener más información, consulta la guía de autenticación de la API de Kubernetes.	2021 A01, A05 2017 A5, A6
`UNFINISHED_WORDPRESS_INSTALLATION`	Este detector verifica si una instalación de WordPress está sin terminar. Una instalación sin terminar de WordPress expone la página `/wp-admin/install.php`, que permite al atacante establecer la contraseña de administrador y, posiblemente, comprometer el sistema. Solución: Completa la instalación de WordPress.	2021 A05 2017 A6
`UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE`	Este detector verifica si hay una instancia de Jenkins no autenticada a través del envío de un ping de sondeo al extremo `/view/all/newJob` como visitante anónimo. Una instancia autenticada de Jenkins muestra el formulario `createItem`, que permite la creación de trabajos arbitrarios que podrían llevar a la ejecución remota de código. Solución: Sigue la guía de Jenkins sobre cómo administrar la seguridad para bloquear el acceso no autenticado.	2021 A01, A05 2017 A5, A6
Hallazgos de software vulnerable
`APACHE_HTTPD_RCE`	Se encontró una falla en el servidor HTTP 2.4.49 de Apache que permite a un atacante usar un ataque de salto de directorio para asignar URL a archivos fuera de la raíz del documento esperada y ver el origen de los archivos interpretados, como las secuencias de comandos de CGI. Se sabe que este problema se explota en el entorno. Este problema afecta a Apache 2.4.49 y 2.4.50, pero no a las versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta: Registro CVE CVE-2021-41773 Vulnerabilidades del servidor HTTP 2.4 de Apache Solución: Protege los archivos fuera de la raíz del documento mediante la configuración de la directiva "require all denied" en el servidor HTTP de Apache.	2021 A01, A06 2017 A5, A9
`APACHE_HTTPD_SSRF`	Los atacantes pueden crear un URI para el servidor web Apache que haga que `mod_proxy` reenvíe la solicitud a un servidor de origen que elija el atacante. Este problema afecta al servidor HTTP de Apache 2.4.48 y versiones anteriores. Para obtener más información sobre esta vulnerabilidad, consulta: Registro CVE CVE-2021-40438 Vulnerabilidades del servidor HTTP 2.4 de Apache Solución: Actualiza el servidor HTTP de Apache a una versión posterior.	2021 A06, A10 2017 A9
`CONSUL_RCE`	Los atacantes pueden ejecutar un código arbitrario en un servidor de Consul porque la instancia de Consul está configurada con `-enable-script-checks` establecido en `true`, y la API HTTP de Consul no está protegida y se puede acceder a ella a través de la red. En Consul 0.9.0 y versiones anteriores, las verificaciones de secuencias de comandos están activadas de forma predeterminada. Para obtener más información, consulta Protección de Consul contra riesgos de RCE en configuraciones específicas. Para comprobar esta vulnerabilidad, la Detección rápida de vulnerabilidades registra un servicio en la instancia de Consul mediante el extremo de REST `/v1/health/service`, que luego ejecuta una de las siguientes acciones: Un comando `curl` para un servidor remoto fuera de la red Un atacante puede usar el comando `curl` para robar datos del servidor. Un comando `printf` Luego, la Detección rápida de vulnerabilidades verifica el resultado del comando mediante el extremo de REST `/v1/health/service`. Después de la verificación, la Detección rápida de vulnerabilidades limpia el servicio y anula su registro mediante el extremo de REST `/v1/agent/service/deregister/`. Solución: Establece enable-script-checks en `false` en la configuración de la instancia de Console.	2021 A05, A06 2017 A6, A9
`DRUID_RCE`	Apache Druid incluye la capacidad de ejecutar código JavaScript proporcionado por el usuario incorporado en varios tipos de solicitudes. Esta funcionalidad está diseñada para usarse en entornos de alta confianza y está inhabilitada de forma predeterminada. Sin embargo, en Druid 0.20.0 y versiones anteriores, es posible que un usuario autenticado envíe una solicitud especialmente diseñada que obliga a Druid a ejecutar un código JavaScript proporcionado por el usuario para esa solicitud, independientemente de la configuración del servidor. Esto se puede aprovechar para ejecutar código en la máquina de destino con los privilegios del proceso del servidor de Druid. Para obtener más información, consulta Detalles de CVE-2021-25646. Solución: Actualiza Apache Druid a una versión posterior.	2021 A05, A06 2017 A6, A9
`DRUPAL_RCE` Esta categoría incluye dos vulnerabilidades en Drupal. Varios hallazgos de este tipo pueden indicar más de una vulnerabilidad.	Las versiones de Dupal anteriores a 7.58, 8.x antes de 8.3.9, 8.4.x antes de 8.4.6 y 8.5.x antes de 8.5.1 son vulnerables a la ejecución de código remoto en las solicitudes de AJAX de la API de Form. Solución: Actualiza a las versiones alternativas de Drupal.	2021 A06 2017 A9
	Las versiones 8.5.x de Drupal anteriores a 8.5.11 y 8.6.x anteriores a 8.6.10 son vulnerables a la ejecución remota de código cuando se habilitan el módulo de servicio web RESTful o la API de JSON:. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante una solicitud POST personalizada. Solución: Actualiza a las versiones alternativas de Drupal.	2021 A06 2017 A9
`FLINK_FILE_DISCLOSURE`	Una vulnerabilidad en las versiones 1.11.0, 1.11.1 y 1.11.2 de Apache Flink permite que los atacantes lean cualquier archivo en el sistema de archivos local de JobManager mediante la interfaz REST del proceso de JobManager. Se restringe el acceso a los archivos a los que se puede acceder mediante el proceso de JobManager. Solución: Si las instancias de Flink están expuestas, actualiza a Flink 1.11.3 o 1.12.0.	2021 A01, A05, A06 2017 A5, A6, A9
`GITLAB_RCE`	En las versiones 11.9 y posteriores de GitLab Community Edition (CE) y Enterprise Edition (EE), GitLab no valida de forma correcta los archivos de imagen que se pasan a un analizador de archivos. Un atacante puede aprovechar esta vulnerabilidad para ejecutar comandos remotos. Solución: Actualiza a las versiones de GitLab CE o EE 13.10.3, 13.9.6 y 13.8.8 o una posterior. Para obtener más información, consulta Acción necesaria para los clientes autoadministrados en respuesta a CVE-2021-22205.	2021 A06 2017 A9
`GoCD_RCE`	En GoCD 21.2.0 y versiones anteriores, existe un extremo al que se puede acceder sin autenticación. Este extremo tiene una vulnerabilidad en el recorrido del directorio que permite a un usuario leer cualquier archivo en el servidor sin autenticación. Solución: Actualiza a la versión 21.3.0 o una posterior. Para obtener más información, consulta Notas de la versión de GoCD 21.3.0.	2021 A06, A07 2017 A2, A9
`JENKINS_RCE`	Las versiones 2.56 y anteriores de Jenkins, 2.46.1 LTS y anteriores son vulnerables a la ejecución remota de código. Esta vulnerabilidad puede deberse a que un atacante no autenticado usa un objeto Java serializado malicioso. Solución: Instala una versión alternativa de Jenkins.	2021 A06, A08 2017 A8 y A9
`JOOMLA_RCE` Esta categoría incluye dos vulnerabilidades en Joomla. Varios hallazgos de este tipo pueden indicar más de una vulnerabilidad.	Las versiones 1.5.x, 2.x y 3.x de Joomla anteriores a la 3.4.6 son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar con un encabezado elaborado que contiene objetos PHP serializados. Solución: Instala una versión alternativa de Joomla.	2021 A06, A08 2017 A8 y A9
	Las versiones 3.0.0 a 3.4.6 de Joomla son vulnerables a la ejecución remota de código. Esta vulnerabilidad se puede activar mediante el envío de una solicitud POST que contiene un objeto PHP serializado y elaborado. Solución: Instala una versión alternativa de Joomla.	2021 A06 2017 A9
`LOG4J_RCE`	En Apache Log4j2 2.14.1 y versiones anteriores, las funciones de JNDI que se usan en configuraciones, mensajes de registro y parámetros no protegen contra el LDAP controlado por el atacante y otros extremos relacionados con JNDI. Para obtener más información, consulta CVE-2021-44228. Solución: Para obtener información sobre la solución, consulta Vulnerabilidades de seguridad de Apache Log4j.	2021 A06 2017 A9
`MANTISBT_PRIVILEGE_ESCALATION`	MantisBT a través de la versión 2.3.0 permite el restablecimiento de contraseñas arbitrario y el acceso de administrador no autenticado proporcionando un valor `confirm_hash` vacío a `verify.php`. Solución: Actualiza MantisBT a una versión más reciente o sigue las instrucciones de Mantis para aplicar una corrección de seguridad crítica.	2021 A06 2017 A9
`OGNL_RCE`	Las instancias del servidor de Confluence y el centro de datos contienen una vulnerabilidad de inyección de OGNL que permite a un atacante no autenticado ejecutar un código arbitrario. Para obtener más información, consulta CVE-2021-26084. Solución: Para obtener información sobre la solución, consulta Inyección OGNL de Confluence Server Webwork: CVE-2021-26084.	2021 A03 2017 A1
`OPENAM_RCE`	El servidor OpenAM 14.6.2 y las versiones anteriores, y el servidor de ForgeRock AM 6.5.3 y las versiones anteriores tienen una vulnerabilidad de deserialización de Java en el parámetro `jato.pageSession` en varias páginas. La explotación no requiere autenticación, y la ejecución de código remoto se puede activar enviando una sola solicitud `/ccversion/` creada al servidor. La vulnerabilidad existe debido al uso de la aplicación Sun ONE. Para obtener más información, consulta CVE-2021-35464. Solución:* Actualiza a una versión más reciente. Para obtener información sobre la solución de ForgeRock, consulta el Aviso de seguridad de AM #202104.	2021 A06 2017 A9
`ORACLE_WEBLOGIC_RCE`	Ciertas versiones del producto Oracle WebLogic Server del middleware de Oracle Fusion (componente: Console) contienen una vulnerabilidad, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad de fácil aprovechamiento permite que un atacante no autenticado con acceso a la red a través de HTTP ponga en riesgo un servidor de Oracle WebLogic. Los ataques exitosos de esta vulnerabilidad pueden provocar la apropiación de Oracle WebLogic Server. Para obtener más información, consulta CVE-2020-14882. Solución: Para obtener información sobre los parches, consulta Aviso de actualización de parche crítico de Oracle: octubre de 2020.	2021 A06, A07 2017 A2, A9
`PHPUNIT_RCE`	Las versiones de PHPUnit anteriores a 5.6.3 permiten la ejecución remota de código con una sola solicitud POST no autenticada. Solución: Actualiza a las versiones PHPUnit más recientes.	2021: A05 2017: A6
`PHP_CGI_RCE`	Las versiones de PHP anteriores a 5.3.12 y 5.4.x anteriores a la 5.4.2, cuando se configuran como una secuencia de comandos de CGI, permiten la ejecución remota de código. El código vulnerable no maneja adecuadamente las cadenas de consulta que carecen de un carácter `=` (signo igual). Esto permite que los atacantes agreguen opciones de línea de comandos que se ejecutan en el servidor. Solución: Instala una versión de PHP alternativa.	2021 A05, A06 2017 A6, A9
`PORTAL_RCE`	La deserialización de datos no confiables en versiones del portal de Liferay anteriores a 7.2.1 CE GA2 permite que los atacantes remotos ejecuten código arbitrario a través de servicios web JSON. Solución: Actualiza a las versiones más recientes del portal de Liferay.	2021 A06, A08 2017 A8 y A9
`REDIS_RCE`	Si una instancia de Redis no requiere autenticación para ejecutar comandos de administrador, es posible que los atacantes puedan ejecutar un código arbitrario. Solución: Configura Redis para que requiera autenticación.	2021 A01, A05 2017 A5, A6
`SOLR_FILE_EXPOSED`	La autenticación no está habilitada en Apache Solr, un servidor de búsqueda de código abierto. Cuando Apache Solr no requiere autenticación, un atacante puede elaborar directamente una solicitud para habilitar una configuración específica y, con el tiempo, implementar una falsificación de solicitudes del servidor (SSRF) o leer archivos arbitrarios. Solución: Actualiza a versiones alternativas de Apache Solr.	2021 A07, A10 2017 A2
`SOLR_RCE`	Las versiones 5.0.0 a Apache Solr 8.3.1 de Apache Solr son vulnerables a la ejecución de código remoto a través de VelocityResponseWriter si `params.resource.loader.enabled` se establece en `true`. Esto permite que los atacantes creen un parámetro que contenga una plantilla de velocidad maliciosa. Solución: Actualiza a versiones alternativas de Apache Solr.	2021 A06 2017 A9
`STRUTS_RCE` Esta categoría incluye tres vulnerabilidades en Apache Struts. Varios hallazgos de este tipo pueden indicar más de una vulnerabilidad.	Las versiones de Apache Struts anteriores a la 2.3.32 y 2.5.x anteriores a la 2.5.10.1 son vulnerables a la ejecución remota de código. La vulnerabilidad puede activarse cuando un atacante no autenticado proporciona un encabezado Content-Type elaborado. Solución: Instala una versión alternativa de Apache Struts.	2021 A06 2017 A9
	El complemento de REST de las versiones 2.1.1 a 2.3.x de Apache Struts anteriores a la 2.3.34 y 2.5.x anteriores a la 2.5.13 son vulnerables a la ejecución remota de código cuando se deserializan las cargas útiles de XML fabricadas. Solución: Instala una versión alternativa de Apache Struts.	2021 A06, A08 2017 A8 y A9
	Apache Struts Las versiones 2.3 a 2.3.34 y 2.5 a 2.5.16 son vulnerables a la ejecución remota de código cuando`alwaysSelectFullNamespace` se configura como`true` y ciertas configuraciones de acción existen. Solución: Instala la versión 2.3.35 o 2.5.17.	2021 A06 2017 A9
`TOMCAT_FILE_DISCLOSURE`	Las versiones 9.x anteriores a 9.0.31 de Apache Tomcat, 8.x antes de 8.5.51, 7.x antes de 7.0.100 y todas las 6.x son vulnerables al código fuente y la divulgación de la configuración a través de un conector de protocolo Apache JServ expuesto. En algunos casos, esto se aprovecha para ejecutar la ejecución de código remota si se permite la carga de archivos. Solución: Actualiza a versiones alternativas de Apache Tomcat.	2021 A06 2017 A3, A9
`VBULLETIN_RCE`	Los servidores vBulletin que ejecutan versiones 5.0.0 a 5.5.4 son vulnerables a la ejecución remota de código. Un atacante no autenticado puede aprovechar esta vulnerabilidad mediante un parámetro de consulta en una solicitud `routestring`. Solución: Actualiza a las versiones alternativas de VMware vCenter Server.	2021 A03, A06 2017 A1, A9
`VCENTER_RCE`	Las versiones 7.x anteriores a 7.0 U1c de VMware vCenter Server, 6.7 antes de 6.7 U3l y 6.5 anteriores a 6.5 U3n son vulnerables a la ejecución remota de código. Esta vulnerabilidad puede deberse a que un atacante sube un archivo creado con páginas del servidor Java a un directorio accesible desde la Web y, luego, activa la ejecución de ese archivo. Solución: Actualiza a las versiones alternativas de VMware vCenter Server.	2021 A06 2017 A9
`WEBLOGIC_RCE`	Ciertas versiones del producto Oracle WebLogic Server del middleware de Oracle Fusion (componente: Console) contienen una vulnerabilidad de ejecución remota de código, incluidas las versiones 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 y 14.1.1.0.0. Esta vulnerabilidad está relacionada con CVE-2020-14750, CVE-2020-14882 y CVE-2020-14883. Para obtener más información, consulta CVE-2020-14883. Solución: Para obtener información sobre los parches, consulta Aviso de actualización de parche crítico de Oracle: octubre de 2020.	2021 A06, A07 2017 A2, A9

Ejemplo de resultado

Los resultados de la Detección rápida de vulnerabilidades se pueden exportar en JSON con el panel de Security Command Center, Google Cloud CLI o la API de Security Command Center. El resultado de JSON para los resultados se parece al siguiente:

  {
    "finding": {
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "WEAK_CREDENTIALS",
      "compliances": [
        {
          "ids": [
            "A2"
          ],
          "standard": "owasp",
          "version": "2017"
        },
        {
          "ids": [
            "A07"
          ],
          "standard": "owasp",
          "version": "2021"
        }
      ],
      "contacts": {
        "security": {
          "contacts": [
            {
              "email": "EMAIL_ADDRESS_1"
            },
            {
              "email": "EMAIL_ADDRESS_2"
            }
          ]
        },
        "technical": {
          "contacts": [
            {
              "email": "EMAIL_ADDRESS_3"
            }
          ]
        }
      },
      "createTime": "2021-08-19T06:26:20.038Z",
      "description": "Well known or weak credentials have been detected.",
      "eventTime": "2022-06-24T19:21:22.783Z",
      "findingClass": "MISCONFIGURATION",
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "securityMarks": {
        "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
      },
      "severity": "CRITICAL",
      "sourceProperties": {
        "description": "Well known or weak credentials have been detected.",
        "targets": [
          {
            "ipv4Address": {
              "address": "IP_ADDRESS",
              "subnetMask": 32
            },
            "port": PORT_NUMBER,
            "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_NAME/instances/VM_NAME",
            "transportProtocol": "TCP"
          }
        ]
      },
      "state": "ACTIVE"
    },
    "resource": {
      "displayName": "PROJECT_NAME",
      "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parentDisplayName": "ORGANIZATION_NAME",
      "parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
      "projectDisplayName": "PROJECT_NAME",
      "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "type": "google.cloud.resourcemanager.Project"
    }
  }

En el ejemplo anterior, se usan las siguientes variables de marcador de posición:

EMAIL_ADDRESS_[N]: Las direcciones de correo electrónico de las personas o entidades a las que se notificará cuando se detecte un hallazgo.
FINDING_ID: Es un valor único que identifica el hallazgo.
IP_ADDRESS: Es la dirección IP en la que se detectó la vulnerabilidad.
ORGANIZATION_ID: Es el identificador de la organización en la que se encontró la vulnerabilidad.
ORGANIZATION_NAME: Es el nombre de la organización en la que se encontró la vulnerabilidad.
PORT_NUMBER: Es el número de puerto en el que se detectó la vulnerabilidad.
PROJECT_ID: Es el identificador alfanumérico del proyecto en el que se encontró la vulnerabilidad.
PROJECT_NUMBER: Es el identificador numérico del proyecto en el que se encontró la vulnerabilidad.
SOURCE_ID: Es el ID numérico, único dentro de tu organización, que identifica el servicio de Security Command Center que detectó la vulnerabilidad.
VM_NAME: Es la máquina virtual (VM) de Compute Engine en la que se detectó la vulnerabilidad.
ZONE_NAME: Es la zona de Compute Engine en la que se encuentra el destino del análisis.

prácticas recomendadas

Debido a que la Detección rápida de vulnerabilidades intenta iniciar sesión en las VM y accede a las interfaces de usuario del administrador expuestas, es posible que se acceda a datos sensibles o afecte los recursos con resultados no deseados. Usa la Detección rápida de vulnerabilidades para analizar recursos de prueba y, si es posible, evitar el uso del servicio en entornos de producción.

Puedes usar las siguientes recomendaciones para proteger tus recursos:

Ejecuta análisis en un entorno de prueba. Crea un proyecto de Compute Engine por separado y carga tu aplicación y tus datos allí. Si usas Google Cloud CLI, puedes especificar el proyecto de destino como una opción de la línea de comandos cuando subas tu app.
Utiliza una cuenta de prueba. Crea una cuenta de usuario que no tenga acceso a datos sensibles ni a operaciones dañinas, y úsala cuando analices tus VMs.
Crea una copia de seguridad de los datos. Considera hacer una copia de seguridad de tus datos antes de realizar análisis.
Analiza los recursos que no son de producción. Ejecuta análisis en recursos que no sean de producción para detectar vulnerabilidades antes de implementarlas en producción.

Antes de realizar un análisis, revisa cuidadosamente tu aplicación para detectar cualquier característica que pueda afectar los datos, usuarios o sistemas más allá del alcance deseado de tu análisis.

¿Qué sigue?

Para obtener instrucciones sobre cómo habilitar y usar la Detección rápida de vulnerabilidades, consulta Usa la Detección rápida de vulnerabilidades.
Para obtener información sobre las pruebas, consulta Prueba la detección rápida de vulnerabilidades.