Diese Seite bietet einen Überblick über Rapid Vulnerability Detection, einschließlich:
- Die Scanziele, die von Rapid Vulnerability Detection unterstützt werden
- Die Arten von Scans, die von Rapid Vulnerability Detection durchgeführt werden
- Die Arten von Sicherheitslücken (Scanergebnisse), die von Rapid Vulnerability Detection erkannt werden
Auf dieser Seite finden Sie außerdem einige Best Practices zum Testen von Rapid Vulnerability Detection-Scans.
Überblick
Rapid Vulnerability Detection, ein integrierter Dienst von Security Command Center Premium, ist ein konfigurationsfreier Netzwerk- und Webanwendungsscanner, der öffentliche Endpunkte aktiv auf Sicherheitslücken scannt, die mit hoher Wahrscheinlichkeit ausgenutzt werden, z. B. schwache Anmeldedaten, unvollständige Softwareinstallationen und ungeschützte Administratoroberflächen. Der Dienst erkennt automatisch Netzwerkendpunkte, Protokolle, offene Ports, Netzwerkdienste und installierte Softwarepakete.
Die Ergebnisse der schnellen Sicherheitslückenerkennung sind frühzeitig eine Warnung vor Sicherheitslücken und wir empfehlen Ihnen, diese sofort zu beheben. Sie können die Ergebnisse im Security Command Center ansehen.
Unterstützte Scanziele
Rapid Vulnerability Detection unterstützt die folgenden Ressourcen:
- Compute Engine
- Rapid Vulnerability Detection unterstützt nur VMs mit einer öffentlichen IP-Adresse. VMs, die sich hinter einer Firewall befinden oder keine öffentliche IP-Adresse haben, werden von Scans ausgeschlossen.
- Cloud Load Balancing
- Rapid Vulnerability Detection unterstützt nur externe Load Balancer.
- Eingehender Google Kubernetes Engine-Traffic
- Cloud Run
- Rapid Vulnerability Detection scannt Standarddomains, die Cloud Run für Ihre Anwendungen bereitstellt, oder benutzerdefinierte Domains, die für Cloud Run-Dienste hinter externen Load-Balancern konfiguriert sind. Benutzerdefinierte Domains mit integrierter Domainzuordnung werden nicht unterstützt. Standarddomains sind jedoch immer verfügbar, auch wenn die Domainzuordnung verwendet wird.
- App Engine
- Mit Rapid Vulnerability Detection werden nur Standarddomains gescannt, die App Engine für Ihre Anwendungen bereitstellt. Benutzerdefinierte Domains werden nicht unterstützt. Standarddomains sind jedoch immer verfügbar, auch wenn benutzerdefinierte Domains verwendet werden.
Scans
Rapid Vulnerability Detection führt verwaltete Scans aus, die N-Tage-Sicherheitslücken erkennen. Dies sind bekannte Sicherheitslücken, die ausgenutzt werden können, um beliebigen Datenzugriff zu erhalten und die Remote-Ausführung von Code zu ermöglichen. Zu diesen Sicherheitslücken gehören schwache Anmeldedaten, unvollständige Softwareinstallationen und offengelegte Administratoroberflächen.
Wenn Sie den Dienst aktivieren, werden Scans automatisch von Security Command Center konfiguriert und verwaltet. Ihre Sicherheitsteams müssen keine Ziel-URLs angeben oder Scans manuell starten. Rapid Vulnerability Detection verwendet Cloud Asset Inventory, um Informationen zu neuen VMs und Anwendungen in Ihren Projekten abzurufen. Außerdem werden einmal pro Woche Scans durchgeführt, um öffentliche Endpunkte und Sicherheitslücken zu erkennen. Der User-Agent, der Rapid Vulnerability Detection ausführt, heißt im Log-Explorer TsunamiSecurityScanner.
Rapid Vulnerability Detection scannt unterstützte Ziele auf offene Ports (HTTP, HTTPS, SSH, MySQL usw.) und wertet Scanziele aus, um mehr über installierte Webanwendungen und freigegebene Netzwerkdienste zu erfahren. Da die schnelle Sicherheitslückenerkennung mehrere Scans auf öffentlichen Endpunkten durchführt und "Fingerabdruck" verwendet, um bekannte Dienste zu identifizieren, werden Sicherheitslücken mit hohem Risiko und hohem Schweregrad mit einer minimalen falsch positiven Rate gemeldet
Weitere Informationen zu den Scanziel-Assets, die von Rapid Vulnerability Detection unterstützt werden, finden Sie unter Unterstützte Scanziele.
Scanergebnisse und Problembehebungen
In der folgenden Tabelle sind die Ergebnistypen für die schnelle Sicherheitslückenerkennung und vorgeschlagene Schritte aufgeführt.
Mit Rapid Vulnerability Detection-Scans werden die folgenden Ergebnistypen identifiziert.
Ergebnistyp | Ergebnisbeschreibung | OWASP-Top-10-Codes |
---|---|---|
Schwache Ergebnisse zu Anmeldedaten | ||
WEAK_CREDENTIALS
|
Dieser Detektor sucht nach schwachen Anmeldedaten mithilfe von Bruch-Force-Methoden vom Typ ncrack. Unterstützte Dienste:SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Abhilfe : Erzwingen Sie eine Richtlinie für ein starkes Passwort. Erstellen Sie eindeutige Anmeldedaten für Ihre Dienste und vermeiden Sie die Verwendung von Wörterbuchwörtern in Passwörtern. |
2021 A07 2017 A2 |
Ergebnisse der zugänglichen Benutzeroberfläche | ||
ELASTICSEARCH_API_EXPOSED
|
Mit der
Elasticsearch API können Aufrufer beliebige Abfragen ausführen, Skripts schreiben und ausführen sowie dem Dienst weitere Dokumente hinzufügen.
Abhilfe : Entfernen Sie den direkten Zugriff auf die Elasticsearch API, indem Sie Anfragen über eine Anwendung weiterleiten, oder beschränken Sie den Zugriff auf authentifizierte Nutzer. Weitere Informationen finden Sie unter Sicherheitseinstellungen in Elasticsearch. |
2021 A01, A05 2017 A5, A6 |
EXPOSED_GRAFANA_ENDPOINT
|
In Grafana 8.0.0 bis 8.3.0 können Nutzer ohne Authentifizierung auf einen Endpunkt zugreifen, der eine Sicherheitslücke beim Verzeichnisdurchlauf hat, durch die jeder Nutzer beliebige Dateien auf dem Server ohne Authentifizierung lesen kann. Weitere Informationen finden Sie unter CVE-2021-43798. Problembehebung : Patchen Sie Grafana oder führen Sie ein Upgrade von Grafana auf eine neuere Version durch. Weitere Informationen finden Sie unter Grafana-Pfaddurchlauf. |
2021 A06, A07 2017 A2, A9 |
EXPOSED_METABASE
|
Die Versionen x.40.0 bis x.40.4 von Metabase, einer Open-Source-Datenanalyseplattform, enthalten eine Sicherheitslücke in der Unterstützung benutzerdefinierter GeoJSON-Karten und potenzieller lokaler Dateien, einschließlich Umgebungsvariablen. URLs wurden vor dem Laden nicht validiert. Weitere Informationen finden Sie unter CVE-2021-41277. Problembehebung: Führen Sie ein Upgrade auf die Wartungsversionen 0.40.5 oder höher oder 1.40.5 oder höher durch. Weitere Informationen findest du unter Die GeoJSON-URL-Validierung kann Serverdateien und Umgebungsvariablen nicht autorisierten Nutzern zugänglich machen. |
2021 A06 2017 A3, A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
Dieser Detektor prüft, ob vertrauliche Bedienelement-Endpunkte von
Spring Boot-Anwendungen verfügbar gemacht werden. Einige der Standardendpunkte wie /heapdump können vertrauliche Informationen enthalten. Andere Endpunkte wie /env können zur Remote-Codeausführung führen.
Derzeit ist nur /heapdump ausgewählt.
Abhilfe : Deaktivieren Sie den Zugriff auf vertrauliche Auslöser-Endpunkte. Weitere Informationen finden Sie unter HTTP-Endpunkte sichern. |
2021 A01, A05 2017 A5, A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
Dieser Detektor prüft, ob die
Hadoop Yarn ResourceManager API, die die Rechen- und Speicherressourcen eines Hadoop-Clusters steuert, verfügbar ist und eine nicht authentifizierte Codeausführung ermöglicht.
Problembehebung : Verwenden Sie Access Control Lists mit der API. |
2021 A01, A05 2017 A5, A6 |
JAVA_JMX_RMI_EXPOSED
|
Die
Java Management Extension (JMX) ermöglicht Remote-Monitoring und -Diagnose für Java-Anwendungen. Wenn Sie JMX mit einem ungeschützten Remote Methode-Aufrufendpunkt ausführen, können alle Remote-Nutzer eine javax.management.loading.MLet MBean-Datei erstellen und damit neue MBeans aus beliebigen URLs erstellen.
Problembehebung: Informationen zum ordnungsgemäßen Konfigurieren des Remote-Monitoring finden Sie unter Monitoring und Verwaltung mit JMX-Technologie. |
2021 A01, A05 2017 A5, A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
Dieser Detektor prüft, ob ein nicht authentifiziertes Jupyter-Notebook verfügbar gemacht wird. Jupyter ermöglicht Remote-Codeausführung auf dem Hostcomputer.
Bei einem nicht authentifizierten Jupyter-Notebook besteht die Gefahr der Remotecodeausführung auf der Hosting-VM.
Problembehebung: Fügen Sie Ihrem Jupyter Notebook-Server die Tokenauthentifizierung hinzu oder verwenden Sie neuere Versionen von Jupyter Notebook, die standardmäßig die Tokenauthentifizierung verwenden. |
2021 A01, A05 2017 A5, A6 |
KUBERNETES_API_EXPOSED
|
Die
Kubernetes API wird bereitgestellt und kann von nicht authentifizierten Aufrufern aufgerufen werden. Dies ermöglicht die beliebige Codeausführung auf dem Kubernetes-Cluster.
Abhilfe : Authentifizierung für alle API-Anfragen erforderlich. Weitere Informationen finden Sie in der Anleitung zur Authentifizierung der Kubernetes API. |
2021 A01, A05 2017 A5, A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
Dieser Detektor prüft, ob eine WordPress-Installation abgeschlossen ist. Eine noch nicht abgeschlossene WordPress-Installation macht die Seite /wp-admin/install.php offen, über die Angreifer ein Administratorpasswort festlegen und möglicherweise das System manipulieren können.
Problembehebung : Schließen Sie die WordPress-Installation ab. |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
Dieser Detektor sucht nach einer nicht authentifizierten Jenkins-Instanz. Dazu wird ein Prüfungs-Ping als anonymer Besucher an den /view/all/newJob -Endpunkt gesendet. Eine authentifizierte Jenkins-Instanz zeigt das Formular createItem . Damit können beliebige Jobs erstellt werden, die zu einer Remotecodeausführung führen können.
Problembehebung: Folgen Sie der Anleitung von Jenkins zum Verwalten der Sicherheit, um den nicht authentifizierten Zugriff zu blockieren. |
2021 A01, A05 2017 A5, A6 |
Ergebnisse von anfälliger Software | ||
APACHE_HTTPD_RCE
|
In Apache HTTP Server 2.4.49 wurde eine Schwachstelle gefunden, die es einem Angreifer ermöglicht, mithilfe eines Path Traversal-Angriffs URLs Dateien außerhalb des erwarteten Dokumentenstamms zuzuordnen und die Quelle interpretierter Dateien wie CGI-Skripts zu sehen. Dieses Problem wird bekanntermaßen ausgenutzt. Dieses Problem betrifft Apache 2.4.49 und 2.4.50, jedoch nicht ältere Versionen. Weitere Informationen zu dieser Sicherheitslücke finden Sie hier: Abhilfe: Schützen Sie Dateien außerhalb des Dokumentenstamms, indem Sie die Anweisung "require all verboten" (alle verweigert) in Apache HTTP Server konfigurieren. |
2021 A01, A06 2017 A5, A9 |
APACHE_HTTPD_SSRF
|
Angreifer können einen URI zum Apache-Webserver erstellen, der dazu führt, dass Problembehebung: Führen Sie ein Upgrade des Apache HTTP-Servers auf eine neuere Version durch. |
2021 A06, A10 2017 A9 |
CONSUL_RCE
|
Angreifer können auf einem Consul-Server beliebigen Code ausführen, da die Consul-Instanz mit
Nach der Prüfung bereinigt Rapid Vulnerability Detection den Dienst und hebt seine Registrierung mithilfe des REST-Endpunkts Problembehebung: Setzen Sie „enable-script-checks“ in der Console-Instanzkonfiguration auf |
2021 A05, A06 2017 A6, A9 |
DRUID_RCE
|
Apache Druid bietet die Möglichkeit, von Nutzern bereitgestellter JavaScript-Code auszuführen, der in verschiedene Arten von Anfragen eingebettet ist. Diese Funktion ist für die Verwendung in Umgebungen mit hohen Vertrauenswürdigkeit vorgesehen und standardmäßig deaktiviert. In Druid 0.20.0 und früheren Versionen kann ein authentifizierter Nutzer jedoch eine speziell entwickelte Anfrage senden, die Druid zwingt, den vom Nutzer bereitgestellten JavaScript-Code für diese Anfrage auszuführen, unabhängig von der Serverkonfiguration. Hiermit kann Code auf dem Zielcomputer mit den Berechtigungen des Druid-Serverprozesses ausgeführt werden. Weitere Informationen finden Sie unter CVE-2021-25646 Details. Problembehebung: Führen Sie ein Upgrade von Apache Druid auf eine neuere Version durch. |
2021 A05, A06 2017 A6, A9 |
DRUPAL_RCE
Diese Kategorie umfasst zwei Sicherheitslücken in Drupal. Mehrere Ergebnisse dieses Typs können auf mehr als eine Sicherheitslücke hinweisen. |
Drupal-Versionen vor 7.58, 8.x vor 8.3.9, 8.4.x vor 8.4.6 und 8.5.x vor 8.5.1 sind anfällig für die Remote-Codeausführung in Form API-AJAX-Anfragen.
Problembehebung: Führen Sie ein Upgrade auf andere Drupal-Versionen durch. |
2021 A06 2017 A9 |
Drupal-Versionen 8.5.x vor 8.5.11 und 8.6.x vor 8.6.10 sind anfällig für die Remote-Codeausführung, wenn entweder das RESTful-Webdienstmodul oder die JSON:API aktiviert ist. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer mithilfe einer benutzerdefinierten POST-Anfrage ausgenutzt werden.
Problembehebung: Führen Sie ein Upgrade auf andere Drupal-Versionen durch. |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Durch eine Sicherheitslücke in
Apache Flink-Versionen 1.11.0, 1.11.1 und 1.11.2 können Angreifer jede Datei im lokalen Dateisystem des JobManagers über die REST-Schnittstelle lesen des JobManager-Prozesses. Der Zugriff ist auf Dateien beschränkt, auf die über den JobManager-Prozess zugegriffen werden kann.
Problembehebung: Wenn Ihre Flink-Instanzen verfügbar sind, führen Sie ein Upgrade auf Flink 1.11.3 oder 1.12.0 durch. |
2021 A01, A05, A06 2017 A5, A6, A9 |
GITLAB_RCE
|
In GitLab Community Edition (CE) und Enterprise Edition (EE) Version 11.9 und höher validiert GitLab die Bilddateien, die an einen Dateiparser übergeben werden, nicht korrekt. Ein Angreifer kann diese Sicherheitslücke zur Remoteausführung von Befehlen ausnutzen. Problembehebung : Führen Sie ein Upgrade auf GitLab CE- oder EE-Release 13.10.3, 13.9.6 und 13.8.8 oder höher durch. Weitere Informationen finden Sie unter Maßnahmen von selbstverwalteten Kunden als Reaktion auf CVE-2021-22205 erforderlich. |
2021 A06 2017 A9 |
GoCD_RCE
|
In GoCD 21.2.0 und früheren Versionen gibt es einen Endpunkt, auf den ohne Authentifizierung zugegriffen werden kann. Dieser Endpunkt hat eine Sicherheitslücke beim Verzeichnisdurchlauf, durch die Nutzer jede beliebige Datei auf dem Server ohne Authentifizierung lesen können. Problembehebung: Führen Sie ein Upgrade auf Version 21.3.0 oder höher durch. Weitere Informationen finden Sie in den Versionshinweisen zu GoCD 21.3.0. |
2021 A06, A07 2017 A2, A9 |
JENKINS_RCE
|
Die
Jenkins-Versionen 2.56 und niedriger sowie 2.46.1 LTS und niedriger sind anfällig für die Remote-Codeausführung. Diese Sicherheitslücke kann auch durch einen nicht authentifizierten Angreifer ausgelöst werden, der ein schädliches serialisiertes Java-Objekt verwendet.
Problembehebung: Installieren Sie eine alternative Jenkins-Version. |
2021 A06, A08 2017 A8, A9 |
JOOMLA_RCE
Diese Kategorie enthält zwei Sicherheitslücken in Joomla. Mehrere Ergebnisse dieses Typs können auf mehr als eine Sicherheitslücke hinweisen. |
Die
Joomla-Versionen 1.5.x, 2.x und 3.x vor 3.4.6 sind anfällig für Remote-Codeausführung. Diese Sicherheitslücke kann durch einen erstellten Header mit serialisierten PHP-Objekten ausgelöst werden.
Abhilfe : Installieren Sie eine alternative Joomla-Version. |
2021 A06, A08 2017 A8, A9 |
Joomla-Versionen 3.0.0 bis 3.4.6 sind für die Remote-Codeausführung anfällig. Diese Sicherheitslücke kann durch das Senden einer POST-Anfrage mit einem gefälschten serialisierten PHP-Objekt ausgelöst werden.
Abhilfe : Installieren Sie eine alternative Joomla-Version. |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
In Apache Log4j2 2.14.1 und früheren Versionen bieten JNDI-Funktionen, die in Konfigurationen, Lognachrichten und Parametern verwendet werden, keinen Schutz vor von Angreifern kontrollierten LDAP- und anderen JNDI-bezogenen Endpunkten. Weitere Informationen finden Sie unter CVE-2021-44228. Problembehebung: Informationen zur Abhilfe finden Sie unter Apache Log4j-Sicherheitslücken. |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
MantisBT durch Version 2.3.0 ermöglicht das Zurücksetzen von Passwörtern und nicht authentifizierten Administratorzugriff. Dazu wird verify.php ein leerer Wert confirm_hash bereitgestellt.
Abhilfe : Aktualisieren Sie MantisBT auf eine neuere Version oder folgen Sie der Anleitung von Mantis, um ein kritisches Sicherheitsupdate anzuwenden. |
2021 A06 2017 A9 |
OGNL_RCE
|
Confluence Server- und Data Center-Instanzen enthalten eine OGNL-Injection-Sicherheitslücke, die es einem nicht authentifizierten Angreifer ermöglicht, beliebigen Code auszuführen. Weitere Informationen finden Sie unter CVE-2021-26084. Abhilfe:Informationen zur Abhilfe finden Sie unter Confluence Server Webwork OGNL Injection – CVE-2021-26084. |
2021 A03 2017 A1 |
OPENAM_RCE
|
Der OpenAM-Server 14.6.2 und niedriger sowie der ForgeRock-AM-Server 6.5.3 und niedriger haben auf mehreren Seiten eine Sicherheitslücke bei der Java-Deserialisierung im Parameter Problembehebung: Führen Sie ein Upgrade auf eine neuere Version durch. Informationen zur Abhilfe bei ForgeRock finden Sie unter AM-Sicherheitshinweis Nr. 202104. |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
Bestimmte Versionen des Oracle WebLogic Server-Produkts von Oracle Fusion Middleware (Komponente: Console) enthalten eine Sicherheitslücke, einschließlich der Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0. Diese leicht ausnutzbare Sicherheitslücke ermöglicht einem nicht authentifizierten Angreifer mit Netzwerkzugriff über HTTP, einen Oracle WebLogic Server zu manipulieren. Erfolgreiche Angriffe auf diese Sicherheitslücke können zu einer Übernahme von Oracle WebLogic Server führen. Weitere Informationen finden Sie unter CVE-2020-14882. Problembehebung: Informationen zu Patches finden Sie unter Oracle Critical Patch Update Advisory – Oktober 2020. |
2021 A06, A07 2017 A2, A9 |
PHPUNIT_RCE
|
PHPUnit-Versionen vor 5.6.3 ermöglichen die Ausführung von Remote-Code mit einer einzelnen nicht authentifizierten POST-Anfrage.
Problembehebung : Führen Sie ein Upgrade auf neuere PHPUnit-Versionen durch. |
2021: A05 2017: A6 |
PHP_CGI_RCE
|
PHP-Versionen vor 5.3.12 und Versionen 5.4.x vor 5.4.2, wenn sie als CGI-Script konfiguriert sind, ermöglichen die Remote-Ausführung von Code. Abfragestrings, denen das Zeichen = (Gleichheitszeichen) fehlt, werden vom anfälligen Code nicht ordnungsgemäß verarbeitet. Dadurch können Angreifer Befehlszeilenoptionen hinzufügen, die auf dem Server ausgeführt werden.
Problembehebung: Installieren Sie eine alternative PHP-Version. |
2021 A05, A06 2017 A6, A9 |
PORTAL_RCE
|
Die Deserialisierung nicht vertrauenswürdiger Daten in Versionen des
Liferay-Portals vor Version 7.2.1 CE GA2 ermöglicht Remote-Angriffen die Ausführung von beliebigem Code über JSON-Webdienste.
Problembehebung : Führen Sie ein Upgrade auf neuere Liferay Portal-Versionen durch. |
2021 A06, A08 2017 A8, A9 |
REDIS_RCE
|
Wenn eine Redis-Instanz keine Authentifizierung zum Ausführen von Administratorbefehlen erfordert, können Angreifer möglicherweise beliebigen Code ausführen. Abhilfe : Konfigurieren Sie Redis so, dass eine Authentifizierung erforderlich ist. |
2021 A01, A05 2017 A5, A6 |
SOLR_FILE_EXPOSED
|
In Apache Solr, einem Open-Source-Suchserver, ist die Authentifizierung nicht aktiviert. Wenn Apache Solr keine Authentifizierung erfordert, kann ein Angreifer direkt eine Anfrage zur Aktivierung einer bestimmten Konfiguration erstellen und schließlich eine serverseitige Anfragefälschung (SSRF) implementieren oder beliebige Dateien lesen. Problembehebung: Führen Sie ein Upgrade auf alternative Apache Solr-Versionen durch. |
2021 A07, A10 2017 A2 |
SOLR_RCE
|
Die
Apache Solr-Versionen 5.0.0 bis Apache Solr 8.3.1 sind anfällig für die Remote-Codeausführung über den VelocityResponseWriter, wenn params.resource.loader.enabled auf true gesetzt ist. Dadurch können Angreifer einen Parameter erstellen, der eine schädliche Velocity-Vorlage enthält.
Problembehebung: Führen Sie ein Upgrade auf alternative Apache Solr-Versionen durch. |
2021 A06 2017 A9 |
STRUTS_RCE
Diese Kategorie umfasst drei Sicherheitslücken in Apache Struts. Mehrere Ergebnisse dieses Typs können auf mehr als eine Sicherheitslücke hinweisen. |
Apache Struts-Versionen vor 2.3.32 und 2.5.x vor 2.5.10.1 sind anfällig für die Remote-Codeausführung. Die Sicherheitslücke kann auch durch einen nicht authentifizierten Angreifer ausgelöst werden, der einen erstellten Content-Type-Header bereitstellt.
Problembehebung : Installieren Sie eine alternative Apache Struts-Version. |
2021 A06 2017 A9 |
Das
REST-Plug-in in den Apache Struts-Versionen 2.1.1 bis 2.3.x vor 2.3.34 und 2.5.x vor 2.5.13 ist bei der Deserialisierung von erstellten XML-Nutzlasten anfällig für Remote-Codeausführung.
Problembehebung : Installieren Sie eine alternative Apache Struts-Version. |
2021 A06, A08 2017 A8, A9 |
|
Die
Apache Struts-Versionen 2.3 bis 2.3.34 und 2.5 bis 2.5.16 sind für die Ausführung von Remote-Code anfällig, wenn alwaysSelectFullNamespace auf true gesetzt ist und bestimmte Es sind noch andere Aktionskonfigurationen vorhanden.
Abhilfe : Installieren Sie Version 2.3.35 oder 2.5.17. |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Apache Tomcat-Versionen 9.x vor 9.0.31, 8.x vor 8.5.51, 7.x vor 7.0.100 und alle 6.x sind anfällig für Quellcode und die Offenlegung der Konfiguration über einen bereitgestellten Apache JServ Protocol-Connector. In manchen Fällen wird diese Funktion für die Ausführung von Remote-Code verwendet, wenn das Hochladen von Dateien erlaubt ist.
Problembehebung: Führen Sie ein Upgrade auf alternative Apache Tomcat-Versionen durch. |
2021 A06 2017 A3, A9 |
VBULLETIN_RCE
|
Bei
vBulletin-Servern, auf denen die Versionen 5.0.0 bis 5.5.4 ausgeführt werden, kann die Ausführung von Remote-Code nicht ausgeführt werden. Diese Sicherheitslücke kann von einem nicht authentifizierten Angreifer ausgenutzt werden, der einen Abfrageparameter in einer routestring -Anfrage verwendet.
Problembehebung: Führen Sie ein Upgrade auf alternative VMware vCenter Server-Versionen durch. |
2021 A03, A06 2017 A1, A9 |
VCENTER_RCE
|
VMware vCenter Server in den Versionen 7.x vor 7.0 U1c, 6.7 vor 6.7 U3l und 6.5 vor 6.5 U3n sind anfällig für die Remote-Codeausführung. Diese Sicherheitslücke kann ausgelöst werden, wenn ein Angreifer eine erstellte Java-Serverseiten-Datei in ein über das Internet zugängliches Verzeichnis hochlädt und dann die Ausführung dieser Datei auslöst.
Problembehebung: Führen Sie ein Upgrade auf alternative VMware vCenter Server-Versionen durch. |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
Bestimmte Versionen des Oracle WebLogic Server-Produkts von Oracle Fusion Middleware (Komponente: Console) enthalten eine Sicherheitslücke bei der Remote-Codeausführung, darunter die Versionen 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 und 14.1.1.0.0. Diese Sicherheitslücke steht im Zusammenhang mit CVE-2020-14750, CVE-2020-14882 und CVE-2020-14883. Weitere Informationen finden Sie unter CVE-2020-14883. Problembehebung: Informationen zu Patches finden Sie unter Oracle Critical Patch Update Advisory – Oktober 2020. |
2021 A06, A07 2017 A2, A9 |
Ergebnisbeispiel
Die Ergebnisse von Rapid Vulnerability Detection können mit dem Security Command Center-Dashboard, der Google Cloud CLI oder der Security Command Center API in JSON exportiert werden. Die JSON-Ausgabe für Ergebnisse sieht etwa so aus:
{
"finding": {
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "WEAK_CREDENTIALS",
"compliances": [
{
"ids": [
"A2"
],
"standard": "owasp",
"version": "2017"
},
{
"ids": [
"A07"
],
"standard": "owasp",
"version": "2021"
}
],
"contacts": {
"security": {
"contacts": [
{
"email": "EMAIL_ADDRESS_1"
},
{
"email": "EMAIL_ADDRESS_2"
}
]
},
"technical": {
"contacts": [
{
"email": "EMAIL_ADDRESS_3"
}
]
}
},
"createTime": "2021-08-19T06:26:20.038Z",
"description": "Well known or weak credentials have been detected.",
"eventTime": "2022-06-24T19:21:22.783Z",
"findingClass": "MISCONFIGURATION",
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"severity": "CRITICAL",
"sourceProperties": {
"description": "Well known or weak credentials have been detected.",
"targets": [
{
"ipv4Address": {
"address": "IP_ADDRESS",
"subnetMask": 32
},
"port": PORT_NUMBER,
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_NAME/instances/VM_NAME",
"transportProtocol": "TCP"
}
]
},
"state": "ACTIVE"
},
"resource": {
"displayName": "PROJECT_NAME",
"name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parentDisplayName": "ORGANIZATION_NAME",
"parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
"projectDisplayName": "PROJECT_NAME",
"projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"type": "google.cloud.resourcemanager.Project"
}
}
Im vorherigen Beispiel werden die folgenden Platzhaltervariablen verwendet:
EMAIL_ADDRESS_[N]
: die E-Mail-Adressen der Personen oder Entitäten, die benachrichtigt werden sollen, wenn ein Ergebnis erkannt wird.FINDING_ID
: ein eindeutiger Wert, der das Ergebnis identifiziert.IP_ADDRESS
: die IP-Adresse, unter der die Sicherheitslücke erkannt wurde.ORGANIZATION_ID
: die Kennzeichnung der Organisation, in der die Sicherheitslücke gefunden wurde.ORGANIZATION_NAME
: der Name der Organisation, in der die Sicherheitslücke gefunden wurde.PORT_NUMBER
: Die Portnummer, an der die Sicherheitslücke erkannt wurde.PROJECT_ID
: die alphanumerische Kennzeichnung des Projekts, in dem die Sicherheitslücke gefunden wurde.PROJECT_NUMBER
: die numerische Kennzeichnung des Projekts, in dem die Sicherheitslücke gefunden wurde.SOURCE_ID
: Die numerische ID, die in Ihrer Organisation eindeutig ist und den Security Command Center-Dienst identifiziert, der die Sicherheitslücke erkannt hat.VM_NAME
: die Compute Engine-VM, auf der die Sicherheitslücke erkannt wurde.ZONE_NAME
: die Compute Engine-Zone, in der sich das Scanziel befindet.
Best Practices
Da die schnelle Sicherheitslückenerkennung versucht, sich bei VMs anzumelden und auf offengelegte Benutzeroberflächen des Administrators zuzugreifen, kann es potenziell zu unerwünschten Daten kommen oder Ihre Ressourcen mit unerwünschten Ergebnissen beeinträchtigen. Verwenden Sie die schnelle Sicherheitslückenerkennung, um Testressourcen zu scannen und den Dienst nach Möglichkeit nicht in Produktionsumgebungen zu verwenden.
Die folgenden Empfehlungen können verwendet werden, um Ihre Ressourcen zu schützen:
- Scans in einer Testumgebung ausführen. Erstellen Sie ein separates Compute Engine-Projekt und laden Sie die Anwendung und die Daten dort. Wenn Sie die Google Cloud CLI verwenden, können Sie das Zielprojekt beim Hochladen Ihrer Anwendung als Befehlszeilenoption angeben.
- Testkonto verwenden. Erstellen Sie ein Nutzerkonto ohne Zugriff auf sensible Daten oder schädliche Vorgänge und verwenden Sie es beim Scannen Ihrer VMs.
- Sichern Sie Ihre Daten. Es wird empfohlen, Daten vor einem Scan zu sichern.
- Scannen Sie nicht-Produktionsressourcen. Führen Sie Scans für Nicht-Produktionsressourcen aus, um Sicherheitslücken zu erkennen, bevor Sie sie in der Produktion bereitstellen.
Prüfen Sie Ihre Anwendung vor dem Scan sorgfältig auf Funktionen, die über den gewünschten Scanumfang hinausgehen und dadurch Daten, Nutzer oder Systeme beeinträchtigen könnten.
Nächste Schritte
- Eine Anleitung zum Aktivieren und Verwenden von Rapid Vulnerability Detection finden Sie unter Rapid Vulnerability Detection verwenden.
- Informationen zu Tests finden Sie unter Rapid Vulnerability Detection testen.