Halaman ini menyediakan ringkasan Deteksi Kerentanan Cepat, termasuk:
- Pemindaian menargetkan yang didukung Deteksi Kerentanan Cepat
- Jenis pemindaian yang dilakukan Deteksi Kerentanan Cepat
- Jenis kerentanan (temuan pemindaian) yang terdeteksi oleh Deteksi Kerentanan Cepat
Halaman ini juga berisi beberapa praktik terbaik untuk menguji pemindaian Deteksi Kerentanan Cepat.
Ringkasan
Deteksi Kerentanan Cepat, layanan bawaan Security Command Center Premium, adalah pemindai jaringan dan aplikasi web tanpa konfigurasi yang secara aktif memindai endpoint publik untuk mendeteksi kerentanan yang sangat mungkin dieksploitasi, seperti kredensial yang lemah, penginstalan software yang tidak lengkap, dan antarmuka pengguna administrator yang terekspos. Layanan secara otomatis menemukan endpoint jaringan, protokol, port terbuka, layanan jaringan, dan paket software yang diinstal.
Temuan Deteksi Kerentanan Cepat adalah peringatan awal tentang kerentanan yang sebaiknya segera diperbaiki. Anda dapat melihatnya di Security Command Center.
Target pemindaian yang didukung
Deteksi Kerentanan Cepat mendukung referensi berikut:
- Compute Engine
- Deteksi Kerentanan Cepat hanya mendukung VM yang memiliki alamat IP publik. VM yang berada di belakang firewall atau yang tidak memiliki alamat IP publik akan dikecualikan dari pemindaian.
- Cloud Load Balancing
- Deteksi Kerentanan Cepat hanya mendukung load balancer eksternal.
- Traffic masuk Google Kubernetes Engine
- Cloud Run
- Deteksi Kerentanan Cepat memindai domain default yang disediakan Cloud Run untuk aplikasi atau domain kustom Anda yang dikonfigurasi untuk layanan Cloud Run di belakang load balancer eksternal. Domain kustom yang menggunakan pemetaan domain bawaan tidak didukung. Namun, domain default selalu tersedia meskipun pemetaan domain digunakan.
- App Engine
- Deteksi Kerentanan Cepat hanya memindai domain default yang disediakan App Engine untuk aplikasi Anda. Domain kustom tidak didukung. Namun, domain default selalu tersedia meskipun domain kustom digunakan.
Pemindaian
Deteksi Kerentanan Cepat menjalankan pemindaian terkelola yang mendeteksi kerentanan N-day, yang merupakan kerentanan umum yang dapat dieksploitasi untuk mendapatkan akses data arbitrer dan memungkinkan eksekusi kode jarak jauh. Kerentanan tersebut mencakup kredensial yang lemah, penginstalan software yang tidak lengkap, dan antarmuka pengguna administrator yang terekspos.
Jika Anda mengaktifkan layanan ini, pemindaian akan otomatis dikonfigurasi dan dikelola oleh Security Command Center. Tim keamanan Anda tidak perlu menyediakan URL target atau memulai pemindaian secara manual. Deteksi Kerentanan Cepat menggunakan Inventaris Aset Cloud untuk mengambil informasi tentang VM dan aplikasi baru di project Anda, serta menjalankan pemindaian seminggu sekali untuk menemukan endpoint publik dan mendeteksi kerentanan. Agen pengguna yang menjalankan Rapid Vulnerability Detection diberi nama TsunamiSecurityScanner di Logs Explorer.
Deteksi Kerentanan Cepat memindai target yang didukung untuk port terbuka (HTTP, HTTPS, SSH, MySQL, dan lainnya), serta mengevaluasi target pemindaian untuk mempelajari aplikasi web yang diinstal dan layanan jaringan yang terekspos. Karena Deteksi Kerentanan Cepat melakukan beberapa pemindaian pada endpoint publik dan menggunakan "sidik jari" untuk mengidentifikasi layanan yang diketahui, kerentanan berisiko tinggi dan memiliki tingkat keparahan tinggi dilaporkan dengan rasio positif palsu yang minimal.
Untuk mempelajari lebih lanjut aset target pemindaian yang didukung oleh Deteksi Kerentanan Cepat, lihat Target pemindaian yang didukung.
Memindai temuan dan perbaikan
Tabel berikut mencantumkan jenis temuan Deteksi Kerentanan Cepat dan langkah-langkah perbaikan yang disarankan.
Pemindaian Deteksi Kerentanan Cepat mengidentifikasi jenis temuan berikut.
Jenis temuan | Menemukan deskripsi | 10 kode teratas versi OWASP |
---|---|---|
Temuan kredensial yang lemah | ||
WEAK_CREDENTIALS
|
Detektor ini memeriksa kredensial yang lemah menggunakan metode brute force ncrack. Layanan yang didukung: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Perbaikan: Menerapkan kebijakan sandi yang kuat. Buat kredensial unik untuk layanan Anda dan hindari penggunaan kata-kata kamus dalam sandi. |
2021 A07 2017 A2 |
Temuan antarmuka yang terekspos | ||
ELASTICSEARCH_API_EXPOSED
|
Elasticsearch API memungkinkan pemanggil melakukan kueri arbitrer, menulis dan
mengeksekusi skrip, serta menambahkan dokumen lain ke layanan.
Perbaikan: Hapus akses langsung ke Elasticsearch API dengan mengarahkan permintaan melalui aplikasi, atau membatasi akses hanya untuk pengguna yang diautentikasi. Untuk mengetahui informasi selengkapnya, lihat Setelan keamanan di Elasticsearch. |
2021 A01, A05 2017 A5, A6 |
EXPOSED_GRAFANA_ENDPOINT
|
Pada Grafana 8.0.0 sampai 8.3.0, tanpa autentikasi, pengguna dapat mengakses endpoint yang memiliki kerentanan directory traversal sehingga dapat membaca file apa pun di server tanpa autentikasi. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-43798. Perbaikan: Patch Grafana atau mengupgrade Grafana ke versi yang lebih baru. Untuk informasi selengkapnya, lihat Grafana path traversal. |
2021 A06, A07 2017 A2, A9 |
EXPOSED_METABASE
|
Metabase versi x.40.0 hingga x.40.4, sebuah platform analisis data open source, memiliki kerentanan dalam dukungan peta GeoJSON kustom dan potensi penyertaan file lokal, termasuk variabel lingkungan. URL tidak divalidasi sebelum dimuat. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-41277. Perbaikan: Upgrade ke rilis pemeliharaan 0.40.5 atau yang lebih baru atau 1.40.5 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Validasi URL GeoJSON dapat mengekspos file server dan variabel lingkungan kepada pengguna yang tidak diberi otorisasi. |
2021 A06 2017 A3, A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
Detektor ini memeriksa apakah endpoint Actuator sensitif dari aplikasi
Spring Boot terekspos. Beberapa endpoint default,
seperti /heapdump , mungkin mengekspos informasi sensitif. Endpoint
lain, seperti /env , dapat menyebabkan eksekusi kode jarak jauh.
Saat ini, hanya /heapdump yang dicentang.
Perbaikan: Nonaktifkan akses ke endpoint Aktuator sensitif. Untuk mengetahui informasi selengkapnya, lihat Mengamankan Endpoint HTTP. |
2021 A01, A05 2017 A5, A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
Detektor ini memeriksa apakah
Hadoop Yarn ResourceManager API, yang mengontrol resource komputasi dan penyimpanan cluster Hadoop, terekspos dan memungkinkan eksekusi kode yang tidak diautentikasi.
Perbaikan: Gunakan daftar kontrol akses dengan API. |
2021 A01, A05 2017 A5, A6 |
JAVA_JMX_RMI_EXPOSED
|
Java Management Extension (JMX) memungkinkan pemantauan dan diagnostik jarak jauh untuk aplikasi Java. Menjalankan JMX dengan endpoint Pemanggilan Metode Jarak Jauh
yang tidak dilindungi memungkinkan pengguna jarak jauh membuat
javax.management.loading.MLet MBean dan menggunakannya untuk membuat MB baru dari
URL arbitrer.
Perbaikan: Untuk mengonfigurasi pemantauan jarak jauh dengan benar, lihat Pemantauan dan Pengelolaan Menggunakan Teknologi JMX. |
2021 A01, A05 2017 A5, A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
Detektor ini memeriksa apakah Jupyter Notebook yang tidak diautentikasi terekspos. Jupyter memungkinkan eksekusi kode jarak jauh sesuai desain pada mesin host.
Jupyter Notebook yang tidak diautentikasi membuat VM hosting berisiko mengalami eksekusi kode jarak jauh.
Perbaikan: Tambahkan autentikasi token ke server Jupyter Notebook Anda, atau gunakan versi Jupyter Notebook yang lebih baru yang menggunakan autentikasi token secara default. |
2021 A01, A05 2017 A5, A6 |
KUBERNETES_API_EXPOSED
|
Kubernetes API diekspos dan dapat diakses oleh pemanggil
yang tidak diautentikasi. Hal ini memungkinkan eksekusi kode arbitrer di cluster Kubernetes.
Perbaikan: Mewajibkan autentikasi untuk semua permintaan API. Untuk mengetahui informasi selengkapnya, lihat panduan Mengautentikasi Kubernetes API. |
2021 A01, A05 2017 A5, A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
Pendeteksi ini memeriksa apakah penginstalan WordPress belum selesai. Penginstalan
WordPress yang belum selesai akan menampilkan
halaman /wp-admin/install.php , yang memungkinkan penyerang menyetel
sandi admin dan, mungkin, menyusupi sistem.
Perbaikan: Selesaikan penginstalan WordPress. |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
Pendeteksi ini memeriksa adanya
instance Jenkins yang tidak diautentikasi dengan
mengirimkan ping pemeriksaan ke endpoint /view/all/newJob sebagai
pengunjung anonim. Instance Jenkins yang telah diautentikasi menampilkan formulir createItem , yang memungkinkan pembuatan tugas arbitrer yang dapat mengakibatkan eksekusi kode jarak jauh.
Perbaikan: Ikuti panduan Jenkins tentang mengelola keamanan untuk memblokir akses yang tidak diautentikasi. |
2021 A01, A05 2017 A5, A6 |
Temuan software yang rentan | ||
APACHE_HTTPD_RCE
|
Kecacatan ditemukan pada Server HTTP Apache 2.4.49 yang memungkinkan penyerang menggunakan serangan path traversal untuk memetakan URL ke file di luar root dokumen yang diharapkan dan melihat sumber file yang ditafsirkan, seperti skrip CGI. Isu ini diketahui dieksploitasi di alam liar. Masalah ini mempengaruhi Apache 2.4.49 dan 2.4.50 tetapi tidak versi sebelumnya. Untuk mengetahui informasi selengkapnya tentang kerentanan ini, lihat: Perbaikan: Lindungi file di luar root dokumen dengan mengonfigurasi perintah "require all denied" di Server HTTP Apache. |
2021 A01, A06 2017 A5, A9 |
APACHE_HTTPD_SSRF
|
Penyerang dapat membuat URI ke server web Apache yang menyebabkan
Perbaikan: Upgrade server HTTP Apache ke versi yang lebih baru. |
2021 A06, A10 2017 A9 |
CONSUL_RCE
|
Penyerang dapat mengeksekusi kode arbitrer di server Consul karena instance Consul dikonfigurasi dengan
Setelah pemeriksaan, Deteksi Kerentanan Cepat akan membersihkan dan membatalkan pendaftaran layanan menggunakan endpoint REST Perbaikan: Menetapkan pemeriksaan enable-script ke |
2021 A05, A06 2017 A6, A9 |
DRUID_RCE
|
Apache Druid mencakup kemampuan untuk mengeksekusi kode JavaScript yang disediakan pengguna yang disematkan dalam berbagai jenis permintaan. Fungsionalitas ini dimaksudkan untuk digunakan di lingkungan dengan kepercayaan tinggi, dan dinonaktifkan secara default. Namun, di Druid 0.20.0 dan versi sebelumnya, pengguna terautentikasi dapat mengirim permintaan yang dibuat khusus yang memaksa Druid menjalankan kode JavaScript yang disediakan pengguna untuk permintaan itu, apa pun konfigurasi servernya. Ini dapat dimanfaatkan untuk mengeksekusi kode pada mesin target dengan hak istimewa proses server Druid. Untuk mengetahui informasi selengkapnya, lihat Detail CVE-2021-25646. Perbaikan: Upgrade Apache Druid ke versi yang lebih baru. |
2021 A05, A06 2017 A6, A9 |
DRUPAL_RCE
Kategori ini mencakup dua kerentanan di Drupal. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan. |
Versi
Drupal sebelum 7.58, 8.x sebelum 8.3.9, 8.4.x sebelum 8.4.6,
dan 8.5.x sebelum 8.5.1 rentan terhadap eksekusi kode jarak jauh pada permintaan AJAX
Form API.
Perbaikan: Upgrade ke versi Drupal alternatif. |
2021 A06 2017 A9 |
Drupal versi 8.5.x sebelum 8.5.11 dan 8.6.x sebelum 8.6.10
rentan terhadap eksekusi kode jarak jauh jika modul RESTful Web Service
atau JSON:API diaktifkan. Kerentanan ini dapat dieksploitasi oleh penyerang yang tidak diautentikasi dengan menggunakan permintaan POST kustom.
Perbaikan: Upgrade ke versi Drupal alternatif. |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Kerentanan pada
Apache Flink versi 1.11.0, 1.11.1, dan 1.11.2 memungkinkan penyerang membaca
file apa pun di sistem file lokal JobManager melalui antarmuka REST dari proses JobManager. Akses dibatasi pada file yang
dapat diakses oleh proses JobManager.
Perbaikan: Jika instance Flink Anda terekspos, upgrade ke Flink 1.11.3 atau 1.12.0. |
2021 A01, A05, A06 2017 A5, A6, A9 |
GITLAB_RCE
|
Di GitLab Community Edition (CE) dan Enterprise Edition (EE) versi 11.9 dan yang lebih baru, GitLab tidak memvalidasi file gambar yang diteruskan ke parser file dengan benar. Penyerang dapat mengeksploitasi kerentanan ini untuk eksekusi perintah jarak jauh. Perbaikan: Upgrade ke GitLab CE atau EE rilis 13.10.3, 13.9.6, dan 13.8.8 atau yang lebih baru. Untuk informasi selengkapnya, lihat Tindakan diperlukan oleh pelanggan yang dikelola sendiri sebagai respons terhadap CVE-2021-22205. |
2021 A06 2017 A9 |
GoCD_RCE
|
Di GoCD 21.2.0 dan yang lebih lama, ada endpoint yang dapat diakses tanpa autentikasi. Endpoint ini memiliki kerentanan directory traversal yang memungkinkan pengguna membaca file apa pun di server tanpa autentikasi. Perbaikan: Upgrade ke versi 21.3.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat Catatan rilis GoCD 21.3.0. |
2021 A06, A07 2017 A2, A9 |
JENKINS_RCE
|
Jenkins versi 2.56 dan yang lebih lama, serta 2.46.1 LTS dan yang lebih lama
rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang tidak diautentikasi menggunakan objek Java serial yang berbahaya.
Perbaikan: Menginstal versi Jenkins alternatif. |
2021 A06, A08 2017 A8, A9 |
JOOMLA_RCE
Kategori ini mencakup dua kerentanan di Joomla. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan. |
Joomla versi 1.5.x, 2.x, dan 3.x sebelum 3.4.6 rentan terhadap
eksekusi kode jarak jauh. Kerentanan ini dapat dipicu dengan header buatan yang berisi objek PHP serial.
Perbaikan: Instal versi Joomla alternatif. |
2021 A06, A08 2017 A8, A9 |
Joomla versi 3.0.0 hingga 3.4.6 rentan terhadap eksekusi kode
jarak jauh. Kerentanan ini dapat dipicu dengan mengirimkan permintaan POST yang berisi objek PHP serial yang dibuat.
Perbaikan: Instal versi Joomla alternatif. |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
Pada Apache Log4j2 2.14.1 dan yang lebih lama, fitur JNDI yang digunakan dalam konfigurasi, pesan log, dan parameter tidak melindungi dari LDAP yang dikontrol penyerang serta endpoint terkait JNDI lainnya. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-44228. Perbaikan: Untuk informasi perbaikan, lihat Kerentanan Keamanan Apache Log4j. |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
MantisBT melalui
versi 2.3.0 memungkinkan reset sandi arbitrer dan akses admin
yang tidak diautentikasi dengan memberikan nilai confirm_hash kosong ke
verify.php .
Perbaikan: Update MantisBT ke versi yang lebih baru atau ikuti petunjuk Mantis untuk menerapkan perbaikan keamanan penting. |
2021 A06 2017 A9 |
OGNL_RCE
|
Instance Confluence Server dan Pusat Data berisi kerentanan injeksi OGNL yang memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode arbitrer. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-26084. Perbaikan: Untuk informasi perbaikan, lihat Injeksi OGNL Server Webwork Server - CVE-2021-26084. |
2021 A03 2017 A1 |
OPENAM_RCE
|
Server OpenAM 14.6.2 dan versi yang lebih lama serta server AM ForgeRock 6.5.3 dan yang lebih lama memiliki
kerentanan deserialisasi Java pada parameter
Perbaikan: Upgrade ke versi yang lebih baru. Untuk informasi tentang perbaikan ForgeRock, lihat AM Security Advisory #202104. |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
Versi produk Oracle WebLogic Server tertentu dari Oracle Fusion Middleware (komponen: Console) memiliki kerentanan, termasuk versi 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Kerentanan yang mudah dieksploitasi ini memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan melalui HTTP untuk menyusupi Oracle WebLogic Server. Serangan yang berhasil pada kerentanan ini dapat mengakibatkan pengambilalihan Oracle WebLogic Server. Untuk mengetahui informasi selengkapnya, lihat CVE-2020-14882. Perbaikan: Untuk informasi patch, lihat Saran Update Patch Penting Oracle - Oktober 2020. |
2021 A06, A07 2017 A2, A9 |
PHPUNIT_RCE
|
Versi
PHPUnit sebelum 5.6.3 memungkinkan eksekusi kode jarak jauh dengan
satu permintaan POST yang tidak diautentikasi.
Perbaikan: Upgrade ke versi PHPUnit yang lebih baru. |
2021: A05 2017: A6 |
PHP_CGI_RCE
|
PHP sebelum 5.3.12, dan versi 5.4.x sebelum 5.4.2, jika
dikonfigurasi sebagai skrip CGI, memungkinkan eksekusi kode jarak jauh. Kode yang rentan
tidak dapat menangani dengan benar string kueri yang tidak memiliki karakter =
(sama dengan tanda). Hal ini memungkinkan penyerang menambahkan opsi command line
yang dijalankan di server.
Perbaikan: Instal versi PHP alternatif. |
2021 A05, A06 2017 A6, A9 |
PORTAL_RCE
|
Deserialisasi data yang tidak tepercaya dalam versi
Liferay Portal sebelum 7.2.1 CE GA2 memungkinkan penyerang jarak jauh
mengeksekusi kode arbitrer melalui layanan web JSON.
Perbaikan: Upgrade ke versi Portal Liferay yang lebih baru. |
2021 A06, A08 2017 A8, A9 |
REDIS_RCE
|
Jika instance Redis tidak memerlukan autentikasi untuk mengeksekusi perintah admin, penyerang mungkin dapat mengeksekusi kode arbitrer. Perbaikan: Mengonfigurasi Redis untuk mewajibkan autentikasi. |
2021 A01, A05 2017 A5, A6 |
SOLR_FILE_EXPOSED
|
Autentikasi tidak diaktifkan di Apache Solr, server penelusuran open source. Jika Apache Solr tidak memerlukan autentikasi, penyerang dapat langsung membuat permintaan untuk mengaktifkan konfigurasi tertentu, dan pada akhirnya mengimplementasikan pemalsuan permintaan sisi server (SSRF) atau membaca file arbitrer. Perbaikan: Upgrade ke versi Apache Solr alternatif. |
2021 A07, A10 2017 A2 |
SOLR_RCE
|
Apache Solr versi 5.0.0 hingga Apache Solr 8.3.1 rentan terhadap
eksekusi kode jarak jauh melalui VelocityResponseWriter jika
params.resource.loader.enabled disetel ke
true . Hal ini memungkinkan penyerang membuat parameter yang berisi template Velocity yang berbahaya.
Perbaikan: Upgrade ke versi Apache Solr alternatif. |
2021 A06 2017 A9 |
STRUTS_RCE
Kategori ini mencakup tiga kerentanan di Apache Struts. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan. |
Versi
Apache Struts sebelum 2.3.32 dan 2.5.x sebelum 2.5.10.1
rentan terhadap eksekusi kode jarak jauh. Kerentanan dapat dipicu oleh penyerang yang tidak diautentikasi dan menyediakan header Content-Type yang dibuat.
Perbaikan: Instal versi Apache Struts alternatif. |
2021 A06 2017 A9 |
Plugin REST di Apache Struts versi 2.1.1 hingga 2.3.x sebelum 2.3.34 dan 2.5.x sebelum 2.5.13 rentan terhadap eksekusi kode jarak jauh saat melakukan deserialisasi payload XML yang dibuat.
Perbaikan: Instal versi Apache Struts alternatif. |
2021 A06, A08 2017 A8, A9 |
|
Apache Struts versi 2.3 hingga 2.3.34 dan 2.5 hingga 2.5.16 rentan
terhadap eksekusi kode jarak jauh saat alwaysSelectFullNamespace
disetel ke true dan konfigurasi tindakan tertentu lainnya tersedia.
Perbaikan: Instal versi 2.3.35 atau 2.5.17. |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Apache Tomcat versi 9.x sebelum 9.0.31, 8.x sebelum 8.5.51, 7.x sebelum
7.0.100, dan semua 6.x rentan terhadap pengungkapan kode sumber dan konfigurasi
melalui konektor Protokol Apache JServ yang terekspos. Dalam beberapa kasus, hal ini dimanfaatkan untuk menjalankan eksekusi kode jarak jauh jika upload file diizinkan.
Perbaikan: Upgrade ke versi Apache Tomcat alternatif. |
2021 A06 2017 A3, A9 |
VBULLETIN_RCE
|
Server
vBulletin yang menjalankan versi 5.0.0 hingga 5.5.4 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dieksploitasi oleh penyerang yang tidak diautentikasi menggunakan parameter kueri dalam permintaan routestring .
Perbaikan: Upgrade ke versi Server vCenter VMware alternatif. |
2021 A03, A06 2017 A1, A9 |
VCENTER_RCE
|
VMware vCenter Server versi 7.x sebelum 7.0 U1c, 6.7 sebelum 6.7 U3l
dan 6.5 sebelum 6.5 U3n rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang mengupload file Java Server Pages
yang telah dibuat ke direktori yang dapat diakses web, lalu memicu eksekusi
file tersebut.
Perbaikan: Upgrade ke versi Server vCenter VMware alternatif. |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
Beberapa versi produk Oracle WebLogic Server dari Oracle Fusion Middleware (komponen: Console) memiliki kerentanan eksekusi kode jarak jauh, termasuk versi 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Kerentanan ini terkait dengan CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Untuk mengetahui informasi selengkapnya, lihat CVE-2020-14883. Perbaikan: Untuk informasi patch, lihat Saran Update Patch Penting Oracle - Oktober 2020. |
2021 A06, A07 2017 A2, A9 |
Contoh temuan
Temuan Deteksi Kerentanan Cepat dapat diekspor dalam JSON dengan dasbor Security Command Center, Google Cloud CLI, atau Security Command Center API. Output JSON untuk temuan mirip seperti berikut:
{
"finding": {
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "WEAK_CREDENTIALS",
"compliances": [
{
"ids": [
"A2"
],
"standard": "owasp",
"version": "2017"
},
{
"ids": [
"A07"
],
"standard": "owasp",
"version": "2021"
}
],
"contacts": {
"security": {
"contacts": [
{
"email": "EMAIL_ADDRESS_1"
},
{
"email": "EMAIL_ADDRESS_2"
}
]
},
"technical": {
"contacts": [
{
"email": "EMAIL_ADDRESS_3"
}
]
}
},
"createTime": "2021-08-19T06:26:20.038Z",
"description": "Well known or weak credentials have been detected.",
"eventTime": "2022-06-24T19:21:22.783Z",
"findingClass": "MISCONFIGURATION",
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"severity": "CRITICAL",
"sourceProperties": {
"description": "Well known or weak credentials have been detected.",
"targets": [
{
"ipv4Address": {
"address": "IP_ADDRESS",
"subnetMask": 32
},
"port": PORT_NUMBER,
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_NAME/instances/VM_NAME",
"transportProtocol": "TCP"
}
]
},
"state": "ACTIVE"
},
"resource": {
"displayName": "PROJECT_NAME",
"name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parentDisplayName": "ORGANIZATION_NAME",
"parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
"projectDisplayName": "PROJECT_NAME",
"projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"type": "google.cloud.resourcemanager.Project"
}
}
Contoh sebelumnya menggunakan variabel placeholder berikut:
EMAIL_ADDRESS_[N]
: alamat email individu atau entitas yang akan diberi tahu saat temuan terdeteksi.FINDING_ID
: nilai unik yang mengidentifikasi temuan.IP_ADDRESS
: alamat IP tempat kerentanan terdeteksi.ORGANIZATION_ID
: ID organisasi tempat kerentanan ditemukan.ORGANIZATION_NAME
: nama organisasi tempat kerentanan ditemukan.PORT_NUMBER
: nomor port tempat kerentanan terdeteksi.PROJECT_ID
: ID alfanumerik project tempat kerentanan ditemukan.PROJECT_NUMBER
: ID numerik project tempat kerentanan ditemukan.SOURCE_ID
: ID numerik yang unik dalam organisasi Anda, yang mengidentifikasi layanan Security Command Center yang mendeteksi kerentanan.VM_NAME
: virtual machine (VM) Compute Engine tempat kerentanan terdeteksi.ZONE_NAME
: zona Compute Engine tempat target pemindaian berada.
Praktik terbaik
Deteksi Kerentanan Cepat mencoba login ke VM dan mengakses antarmuka pengguna administrator yang terekspos, sehingga berpotensi mengakses data sensitif atau memengaruhi resource Anda dengan hasil yang tidak diinginkan. Gunakan Deteksi Kerentanan Cepat untuk memindai resource pengujian dan, jika memungkinkan, hindari penggunaan layanan di lingkungan produksi.
Rekomendasi berikut dapat digunakan untuk mengamankan resource Anda:
- Jalankan pemindaian di lingkungan pengujian. Buat project Compute Engine terpisah, lalu muat aplikasi dan data Anda di sana. Jika menggunakan Google Cloud CLI, Anda dapat menentukan project target sebagai opsi command line saat mengupload aplikasi.
- Gunakan akun pengujian. Buat akun pengguna yang tidak memiliki akses ke data sensitif atau operasi berbahaya, dan gunakan akun tersebut saat memindai VM Anda.
- Cadangkan data Anda. Pertimbangkan untuk membuat cadangan data sebelum memindai.
- Memindai resource non-produksi. Jalankan pemindaian resource non-produksi untuk mendeteksi kerentanan sebelum men-deploy-nya dalam produksi.
Sebelum memindai, lakukan audit dengan cermat pada aplikasi Anda untuk menemukan fitur yang dapat memengaruhi data atau sistem di luar cakupan pemindaian yang diinginkan.
Langkah selanjutnya
- Untuk mengetahui petunjuk cara mengaktifkan dan menggunakan Deteksi Kerentanan Cepat, lihat Menggunakan Deteksi Kerentanan Cepat.
- Untuk informasi tentang pengujian, baca Menguji Deteksi Kerentanan Cepat.