Cette page offre un aperçu de la détection rapide des failles, y compris:
- Cibles d'analyse compatibles avec la détection rapide des failles
- Types d'analyses effectuées par Rapid Vulnerability Detection
- Types de failles (résultats d'analyse) détectés par Rapid Vulnerability Detection
Cette page présente également quelques bonnes pratiques pour tester les analyses de détection rapide des failles.
Présentation
Rapid Vulnerability Detection, un service intégré à Security Command Center Premium, est un outil d'analyse des réseaux et des applications Web sans configuration, qui analyse activement les points de terminaison publics pour détecter les failles présentant un risque élevé d'exploitation, telles que des identifiants peu sécurisés, des installations logicielles incomplètes et des interfaces utilisateur d'administrateur exposées. Le service détecte automatiquement les points de terminaison du réseau, les protocoles, les ports ouverts, les services réseau et les packages logiciels installés.
Les résultats de la détection rapide des failles sont des avertissements précoces concernant les failles que nous vous recommandons de corriger immédiatement. Vous pouvez consulter les résultats dans Security Command Center.
Cibles d'analyse compatibles
La détection rapide des failles est compatible avec les ressources suivantes:
- Compute Engine
- La détection rapide des failles n'est compatible qu'avec les VM disposant d'une adresse IP publique. Les VM protégées par un pare-feu ou qui n'ont pas d'adresse IP publique sont exclues des analyses.
- Cloud Load Balancing
- La détection rapide des failles n'est compatible qu'avec les équilibreurs de charge externes.
- Entrée Google Kubernetes Engine
- Cloud Run
- La détection rapide des failles analyse les domaines par défaut fournis par Cloud Run pour vos applications ou les domaines personnalisés configurés pour les services Cloud Run derrière des équilibreurs de charge externes. Les domaines personnalisés utilisant le mappage de domaines intégré ne sont pas pris en charge. Toutefois, les domaines par défaut sont toujours disponibles, même lorsque le mappage de domaine est utilisé.
- App Engine
- La détection rapide des failles n'analyse que les domaines par défaut fournis par App Engine pour vos applications. Les domaines personnalisés ne sont pas acceptés. Toutefois, les domaines par défaut sont toujours disponibles, même lorsque des domaines personnalisés sont utilisés.
Analyses
La détection rapide des failles exécute des analyses gérées qui détectent les vulnérabilités N jours, qui sont des failles connues pouvant être exploitées pour obtenir un accès arbitraire aux données et permettre l'exécution de code à distance. Ces failles incluent des identifiants peu sécurisés, des installations logicielles incomplètes et des interfaces utilisateur d'administrateur exposées.
Lorsque vous activez le service, les analyses sont automatiquement configurées et gérées par Security Command Center. Vos équipes de sécurité n'ont pas besoin de fournir d'URL cibles ni de lancer les analyses manuellement. La détection rapide des failles utilise l'inventaire des éléments cloud pour récupérer des informations sur les nouvelles VM et applications de vos projets, et exécute des analyses une fois par semaine pour trouver les points de terminaison publics et détecter les failles. Le user-agent qui exécute la détection rapide des failles est nommé TsunamiSecurityScanner dans l'explorateur de journaux.
La détection rapide des failles analyse les cibles compatibles pour les ports ouverts (HTTP, HTTPS, SSH, MySQL, etc.), et évalue les cibles d'analyse pour en savoir plus sur les applications Web installées et les services réseau exposés. Étant donné que la détection rapide des failles met en œuvre plusieurs analyses sur les points de terminaison publics et utilise des "empreintes" pour identifier les services connus, les failles à haut risque et à gravité élevée sont signalées avec un taux minimal de faux positifs.
Pour en savoir plus sur les éléments cibles d'analyse compatibles avec la détection rapide des failles, consultez la page Cibles d'analyse compatibles.
Résultats de l'analyse et corrections
Le tableau suivant répertorie les types de résultats de détection rapide des failles et les étapes de résolution suggérées.
Les analyses de détection rapide des failles identifient les types de résultats suivants.
Type de résultat | Description du résultat | Top 10 OWASP |
---|---|---|
Résultats faibles concernant les identifiants | ||
WEAK_CREDENTIALS
|
Ce détecteur recherche les identifiants faibles en utilisant les méthodes de force brute de l'outil ncrack. Services compatibles:SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Solution : appliquez des règles de mots de passe sécurisés. Créez des identifiants uniques pour vos services et évitez d'utiliser des mots du dictionnaire dans les mots de passe. |
2021 A07 2017 A2 |
Résultats de l'interface exposée | ||
ELASTICSEARCH_API_EXPOSED
|
L'API Elasticsearch permet aux appelants d'effectuer des requêtes arbitraires, d'écrire et d'exécuter des scripts et d'ajouter des documents supplémentaires au service.
Solution : supprimez l'accès direct à l'API Elasticsearch en acheminant les requêtes via une application, ou limitez l'accès aux utilisateurs authentifiés uniquement. Pour en savoir plus, consultez la section Paramètres de sécurité dans Elasticsearch. |
2021 A01, A05 2017 A5, A6 |
EXPOSED_GRAFANA_ENDPOINT
|
Dans les versions 8.0.0 à 8.3.0 de Grafana, les utilisateurs peuvent accéder sans authentification à un point de terminaison présentant une faille de traversée de répertoire qui permet à n'importe quel utilisateur de lire n'importe quel fichier sur le serveur sans authentification. Pour en savoir plus, consultez la page CVE-2021-43798. Solution : appliquez un correctif à Grafana ou mettez à niveau Grafana vers une version ultérieure. Pour en savoir plus, consultez la page Trafana de chemin d'accès à Grafana. |
2021 A06, A07 2017 A2, A9 |
EXPOSED_METABASE
|
Les versions x.40.0 à x.40.4 de Metabase, une plate-forme d'analyse de données Open Source, présentent une faille dans la compatibilité de la carte GeoJSON personnalisée et l'inclusion potentielle de fichiers locaux, y compris des variables d'environnement. Les URL n'ont pas été validées avant d'être chargées. Pour en savoir plus, consultez la page CVE-2021-41277. Solution:effectuez une mise à niveau vers les versions de maintenance 0.40.5 (ou version ultérieure), ou 1.40.5 (ou version ultérieure). Pour en savoir plus, consultez La validation des URL GeoJSON peut exposer les fichiers serveur et les variables d'environnement à des utilisateurs non autorisés. |
2021 A06 2017 A3, A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
Ce détecteur vérifie si les points de terminaison d'actionneur sensibles des applications Spring Boot sont exposés. Certains points de terminaison par défaut, tels que /heapdump , peuvent exposer des informations sensibles. D'autres points de terminaison, tels que /env , peuvent permettre l'exécution de code à distance.
Actuellement, seule /heapdump est cochée.
Solution : désactivez l'accès aux points de terminaison sensibles de l'actionneur. Pour en savoir plus, consultez la page Sécuriser les points de terminaison HTTP. |
2021 A01, A05 2017 A5, A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
Ce détecteur vérifie si l'
API Hadoop Yarn ResourceManager, qui contrôle les ressources de calcul et de stockage d'un cluster Hadoop, est exposée et autorise l'exécution de code non authentifié.
Solution : utilisez des listes de contrôle d'accès avec l'API. |
2021 A01, A05 2017 A5, A6 |
JAVA_JMX_RMI_EXPOSED
|
Java Management Extension (JMX) permet la surveillance et le diagnostic à distance des applications Java. L'exécution de JMX avec un point de terminaison d'appel de méthode à distance non protégé permet à tout utilisateur distant de créer un MBean javax.management.loading.MLet et de l'utiliser pour créer de nouveaux MBean à partir d'URL arbitraires.
Solution : pour configurer correctement la surveillance à distance, consultez Surveillance et gestion à l'aide de la technologie JMX. |
2021 A01, A05 2017 A5, A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
Ce détecteur vérifie si un notebook Jupyter non authentifié est exposé. Jupyter permet l'exécution de code à distance à des fins de développement sur la machine hôte.
Un notebook Jupyter non authentifié expose la VM hôte à un risque d'exécution de code à distance.
Solution : ajoutez une authentification par jeton à votre serveur de notebooks Jupyter ou utilisez des versions plus récentes de Jupyter Notebook qui utilisent l'authentification par jeton par défaut. |
2021 A01, A05 2017 A5, A6 |
KUBERNETES_API_EXPOSED
|
L'API Kubernetes est exposée et est accessible aux appelants non authentifiés. Cela permet l'exécution de code arbitraire sur le cluster Kubernetes.
Solution : exigez l'authentification pour toutes les requêtes API. Pour en savoir plus, consultez le guide sur l' authentification de l'API Kubernetes. |
2021 A01, A05 2017 A5, A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
Ce détecteur vérifie si une installation WordPress est inachevée. Une installation WordPress inachevée expose la page /wp-admin/install.php , ce qui permet au pirate informatique de définir le mot de passe administrateur et, éventuellement, de compromettre le système.
Solution : terminez l' installation de WordPress. |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
Ce détecteur recherche une instance Jenkins non authentifiée en envoyant un ping de vérification au point de terminaison /view/all/newJob en tant que visiteur anonyme. Une instance Jenkins authentifiée affiche le format createItem , qui permet de créer des tâches arbitraires pouvant entraîner l'exécution de code à distance.
Solution : suivez le guide de Jenkins sur la gestion de la sécurité pour bloquer les accès non authentifiés. |
2021 A01, A05 2017 A5, A6 |
Identification de logiciels vulnérables | ||
APACHE_HTTPD_RCE
|
Une faille a été détectée dans le serveur HTTP Apache 2.4.49. Elle permet à un pirate informatique d'utiliser une attaque par traversée de répertoire pour mapper des URL à des fichiers situés en dehors de la racine du document attendue et voir la source des fichiers interprétés, comme les scripts CGI. Ce problème est connu pour être exploité dans le monde réel. Ce problème affecte Apache 2.4.49 et 2.4.50, mais pas les versions antérieures. Pour en savoir plus sur cette faille, consultez les pages suivantes: Solution:protégez les fichiers en dehors de la racine du document en configurant l'instruction "require all denied" (exiger tous les refus) dans le serveur HTTP Apache. |
2021 A01, A06 2017 A5, A9 |
APACHE_HTTPD_SSRF
|
Les pirates informatiques peuvent créer un URI vers le serveur Web Apache, ce qui oblige Solution : mettez à niveau le serveur HTTP Apache vers une version ultérieure. |
2021 A06, A10 2017 A9 |
CONSUL_RCE
|
Les pirates informatiques peuvent exécuter du code arbitraire sur un serveur Consul, car l'instance Consul est configurée avec
Après la vérification, Rapid Vulnerability Detection nettoie et annule l'enregistrement du service à l'aide du point de terminaison REST Correction : définissez enable-script-checks sur |
2021 A05, A06 2017 A6, A9 |
DRUID_RCE
|
Apache Druid permet d'exécuter du code JavaScript fourni par l'utilisateur et intégré dans divers types de requêtes. Cette fonctionnalité est destinée à être utilisée dans des environnements à confiance élevée. Elle est désactivée par défaut. Toutefois, dans Druid 0.20.0 et versions antérieures, un utilisateur authentifié peut envoyer une requête spécialement conçue pour forcer Druid à exécuter le code JavaScript fourni par l'utilisateur pour cette requête, quelle que soit la configuration du serveur. Cela permet d'exécuter du code sur la machine cible avec les privilèges du processus du serveur Druid. Pour en savoir plus, consultez la page Détails de la CVE-2021-25646. Solution : mettre à niveau Apache Druid vers une version ultérieure. |
2021 A05, A06 2017 A6, A9 |
DRUPAL_RCE
Cette catégorie comprend deux failles dans Drupal. Plusieurs résultats de ce type peuvent indiquer plusieurs failles. |
Les versions
Drupal antérieures à 7.58, 8.x (avant 8.3.9), 8.4.x (avant 8.4.6) et 8.5.x (avant 8.5.1) sont vulnérables à l'exécution de code à distance sur les requêtes AJAX de l'API Form.
Résolution : mise à niveau vers d'autres versions de Drupal. |
2021 A06 2017 A9 |
Les versions 8.5.x de
Drupal (antérieures à la version 8.5.11) et 8.6.x (avant la version 8.6.10) sont vulnérables à l'exécution de code à distance lorsque le module de service Web RESTful ou JSON:API est activé. Cette faille peut être exploitée par un pirate informatique non authentifié à l'aide d'une requête POST personnalisée.
Résolution : mise à niveau vers d'autres versions de Drupal. |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Une faille dans les versions 1.11.0, 1.11.1 et 1.11.2 d'Apache Flink permet aux pirates informatiques de lire n'importe quel fichier du système de fichiers local de JobManager via l'interface REST du processus JobManager. L'accès est limité aux fichiers accessibles par le processus JobManager.
Solution : si vos instances Flink sont exposées, passez à Flink 1.11.3 ou 1.12.0. |
2021 A01, A05, A06 2017 A5, A6, A9 |
GITLAB_RCE
|
Dans GitLab Community Edition (CE) et Enterprise Edition (EE) versions 11.9 et ultérieures, GitLab ne valide pas correctement les fichiers image transmis à un analyseur de fichiers. Un pirate informatique peut exploiter cette faille pour exécuter des commandes à distance. Solution : passez à GitLab CE ou EE versions 13.10.3, 13.9.6 et 13.8.8 ou ultérieures. Pour en savoir plus, consultez la section Action requise par les clients autogérés en réponse à la faille CVE-2021-22205. |
2021 A06 2017 A9 |
GoCD_RCE
|
Dans GoCD 21.2.0 et versions antérieures, un point de terminaison est accessible sans authentification. Ce point de terminaison présente une faille de traversée de répertoire qui permet à un utilisateur de lire n'importe quel fichier sur le serveur sans authentification. Solution:effectuez la mise à niveau vers la version 21.3.0 ou ultérieure. Pour en savoir plus, consultez les notes de version de GoCD 21.3.0. |
2021 A06, A07 2017 A2, A9 |
JENKINS_RCE
|
Les versions 2.56 et antérieures de
Jenkins, ainsi que les versions 2.46.1 LTS et antérieures, sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par un pirate informatique non authentifié à l'aide d'un objet Java sérialisé malveillant.
Solution : installez une autre version de Jenkins. |
2021 A06, A08 2017 A8, A9 |
JOOMLA_RCE
Cette catégorie comprend deux failles dans Joomla. Plusieurs résultats de ce type peuvent indiquer plusieurs failles. |
Les versions 1.5.x, 2.x et 3.x de
Joomla antérieures à la version 3.4.6 sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée avec un en-tête conçu contenant des objets PHP sérialisés.
Solution : installez une autre version de Joomla. |
2021 A06, A08 2017 A8, A9 |
Les versions 3.0.0 à 3.4.6 de Joomla sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée en envoyant une requête POST contenant un objet PHP sérialisé conçu.
Solution : installez une autre version de Joomla. |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
Dans Apache Log4j2 2.14.1 et versions antérieures, les fonctionnalités JNDI utilisées dans les configurations, les messages de journal et les paramètres ne protègent pas contre le LDAP contrôlé par un pirate et les autres points de terminaison liés à JNDI. Pour en savoir plus, consultez la page CVE-2021-44228. Solution:pour obtenir des informations sur la résolution, consultez la page sur les failles de sécurité d'Apache Log4j. |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
La version 2.3.0 de MantisBT permet la réinitialisation arbitraire du mot de passe et l'accès administrateur non authentifié en fournissant une valeur confirm_hash vide à verify.php .
Solution : mettez à jour MantisBT vers une version plus récente ou suivez les instructions de Mantis pour appliquer un correctif de sécurité critique. |
2021 A06 2017 A9 |
OGNL_RCE
|
Les instances de Confluence Server et de centre de données contiennent une faille d'injection OGNL qui permet à un pirate informatique non authentifié d'exécuter du code arbitraire. Pour en savoir plus, consultez la page CVE-2021-26084. Solution:pour obtenir des informations sur la correction, consultez la page Confluence Server Webwork OGNL injection - CVE-2021-26084. |
2021 A03 2017 A1 |
OPENAM_RCE
|
Le serveur OpenAM 14.6.2 et les versions antérieures, ainsi que le serveur ForgeRock AM 6.5.3 et les versions antérieures, présentent une faille liée à la désérialisation Java dans le paramètre Solution:effectuez la mise à niveau vers une version plus récente. Pour en savoir plus sur la correction ForgeRock, consultez l' avis de sécurité AM 202104. |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
Certaines versions du produit Oracle WebLogic Server d'Oracle Fusion Middleware (composant: Console) présentent une faille, y compris les versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0. Cette faille facilement exploitable permet à un pirate informatique non authentifié disposant d'un accès réseau via HTTP de compromettre un serveur Oracle WebLogic. Les attaques réussies de cette faille peuvent entraîner une prise de contrôle d'Oracle WebLogic Server. Pour en savoir plus, consultez la page CVE-2020-14882. Solution:pour obtenir des informations sur les correctifs, consultez l' avis de mise à jour critique de correctif Oracle (octobre 2020). |
2021 A06, A07 2017 A2, A9 |
PHPUNIT_RCE
|
Les versions de
PHPUnit antérieures à 5.6.3 autorisent l'exécution de code à distance avec une seule requête POST non authentifiée.
Solution : passez à des versions plus récentes de PHPUnit. |
2021: A05 2017: A6 |
PHP_CGI_RCE
|
Les versions
PHP antérieures à la version 5.3.12 et les versions 5.4.x antérieures à la version 5.4.2, lorsqu'elles sont configurées en tant que script CGI, permettent l'exécution de code à distance. Le code vulnérable ne gère pas correctement les chaînes de requête qui n'ont pas de caractère = (signe égal). Cela permet aux pirates informatiques d'ajouter des options de ligne de commande exécutées sur le serveur.
Solution : installez une autre version de PHP. |
2021 A05, A06 2017 A6, A9 |
PORTAL_RCE
|
La désérialisation des données non approuvées dans les versions du portail Liferay antérieures à 7.2.1 CE GA2 permet aux pirates informatiques d'exécuter du code arbitrairement et à distance via des services Web JSON.
Solution : passez à des versions plus récentes du portail Liferay. |
2021 A06, A08 2017 A8, A9 |
REDIS_RCE
|
Si une instance Redis ne nécessite pas d'authentification pour exécuter des commandes d'administration, des pirates informatiques pourraient exécuter du code arbitraire. Correction : configurez Redis pour exiger une authentification. |
2021 A01, A05 2017 A5, A6 |
SOLR_FILE_EXPOSED
|
L'authentification n'est pas activée dans Apache Solr, un serveur de recherche Open Source. Lorsqu'Apache Solar ne nécessite pas d'authentification, un pirate informatique peut directement élaborer une requête pour activer une configuration spécifique, puis implémenter une falsification de requête côté serveur (SSRF, server-side request forgery) ou lire des fichiers arbitraires. Solution : effectuez la mise à niveau vers d'autres versions d'Apache Solr. |
2021 A07, A10 2017 A2 |
SOLR_RCE
|
Les versions 5.0.0 à Apache Solr 8.3.1 d'
Apache Solr sont vulnérables à l'exécution de code à distance via VelocityResponseWriter si params.resource.loader.enabled est défini sur true . Cela permet aux pirates informatiques de créer un paramètre contenant un modèle de "Velocity" malveillant.
Solution : effectuez la mise à niveau vers d'autres versions d'Apache Solr. |
2021 A06 2017 A9 |
STRUTS_RCE
Cette catégorie comprend trois failles dans Apache Struts. Plusieurs résultats de ce type peuvent indiquer plusieurs failles. |
Les versions d'
Apache Struts antérieures à la version 2.3.32 et 2.5.x antérieures à la version 2.5.10.1 sont vulnérables à l'exécution de code à distance. La faille peut être déclenchée par un pirate informatique non authentifié qui fournit un en-tête Content-Type personnalisé.
Solution : installez une autre version d'Apache Struts. |
2021 A06 2017 A9 |
Le
plug-in REST dans les versions 2.1.1 à 2.3.x d'Apache Struts (avant les versions 2.3.34) et 2.5.x (avant la version 2.5.13) est vulnérable à l'exécution de code à distance lors de la désérialisation des charges utiles XML conçues.
Solution : installez une autre version d'Apache Struts. |
2021 A06, A08 2017 A8, A9 |
|
Les versions 2.3 à 2.3.34 et 2.5 à 2.5.1 d'Apache Struts sont vulnérables à l'exécution de code à distance lorsque alwaysSelectFullNamespace est défini sur true et que certaines autres configurations d'action sont présentes.
Solution : installer la version 2.3.35 ou 2.5.17. |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Les versions d'Apache Tomcat 9.x antérieures à 9.0.31, 8.x antérieures à 8.5.51, 7.x antérieures à 7.0.100 et toutes les versions 6.x sont vulnérables à la divulgation de code source et de configuration sources via un protocole Apache JServ exposé. Dans certains cas, il est utilisé pour exécuter du code à distance si l'importation de fichiers est autorisée.
Solution:effectuez la mise à niveau vers d'autres versions d'Apache Tomcat. |
2021 A06 2017 A3, A9 |
VBULLETIN_RCE
|
Les serveurs
vBulletin exécutant les versions 5.0.0 à 5.5.4 sont vulnérables à l'exécution de code à distance. Cette faille peut être exploitée par un pirate informatique non authentifié à l'aide d'un paramètre de requête dans une requête routestring .
Solution : effectuez la mise à niveau vers d'autres versions de VMware vCenter Server. |
2021 A03, A06 2017 A1, A9 |
VCENTER_RCE
|
VMware vCenter Server versions 7.x avant 7.0 U1c, 6.7 avant 6.7 U3l et 6.5 avant 6.5 U3n sont vulnérables à l'exécution de code à distance. Cette faille peut être déclenchée par un pirate informatique qui importe un fichier de pages Java Server créé dans un répertoire accessible sur le Web, puis déclenche l'exécution de ce fichier.
Solution : effectuez la mise à niveau vers d'autres versions de VMware vCenter Server. |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
Certaines versions du produit Oracle WebLogic Server d'Oracle Fusion Middleware (composant: Console) présentent une faille d'exécution de code à distance, y compris les versions 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 et 14.1.1.0.0. Cette faille est liée à CVE-2020-14750, CVE-2020-14882 et CVE-2020-14883. Pour en savoir plus, consultez la page CVE-2020-14883. Solution:pour obtenir des informations sur les correctifs, consultez l' avis de mise à jour critique de correctif Oracle (octobre 2020). |
2021 A06, A07 2017 A2, A9 |
Exemple de résultat
Les résultats de la détection rapide des failles peuvent être exportés au format JSON avec le tableau de bord Security Command Center, Google Cloud CLI ou l'API Security Command Center. La sortie JSON des résultats se présente comme suit:
{
"finding": {
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "WEAK_CREDENTIALS",
"compliances": [
{
"ids": [
"A2"
],
"standard": "owasp",
"version": "2017"
},
{
"ids": [
"A07"
],
"standard": "owasp",
"version": "2021"
}
],
"contacts": {
"security": {
"contacts": [
{
"email": "EMAIL_ADDRESS_1"
},
{
"email": "EMAIL_ADDRESS_2"
}
]
},
"technical": {
"contacts": [
{
"email": "EMAIL_ADDRESS_3"
}
]
}
},
"createTime": "2021-08-19T06:26:20.038Z",
"description": "Well known or weak credentials have been detected.",
"eventTime": "2022-06-24T19:21:22.783Z",
"findingClass": "MISCONFIGURATION",
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"severity": "CRITICAL",
"sourceProperties": {
"description": "Well known or weak credentials have been detected.",
"targets": [
{
"ipv4Address": {
"address": "IP_ADDRESS",
"subnetMask": 32
},
"port": PORT_NUMBER,
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_NAME/instances/VM_NAME",
"transportProtocol": "TCP"
}
]
},
"state": "ACTIVE"
},
"resource": {
"displayName": "PROJECT_NAME",
"name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parentDisplayName": "ORGANIZATION_NAME",
"parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
"projectDisplayName": "PROJECT_NAME",
"projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"type": "google.cloud.resourcemanager.Project"
}
}
L'exemple précédent utilise les variables d'espace réservé suivantes:
EMAIL_ADDRESS_[N]
: adresses e-mail des personnes ou des entités à avertir lorsqu'un résultat est détecté.FINDING_ID
: valeur unique qui identifie le résultat.IP_ADDRESS
: adresse IP à laquelle la faille a été détectée.ORGANIZATION_ID
: identifiant de l'organisation dans laquelle la faille a été détectée.ORGANIZATION_NAME
: nom de l'organisation dans laquelle la faille a été trouvée.PORT_NUMBER
: numéro de port sur lequel la faille a été détectée.PROJECT_ID
: identifiant alphanumérique du projet dans lequel la faille a été détectée.PROJECT_NUMBER
: identifiant numérique du projet dans lequel la faille a été détectée.SOURCE_ID
: ID numérique, unique dans votre organisation, qui identifie le service Security Command Center ayant détecté la faille.VM_NAME
: machine virtuelle (VM) Compute Engine sur laquelle la faille a été détectée.ZONE_NAME
: zone Compute Engine dans laquelle se trouve la cible de l'analyse.
Bonnes pratiques
Étant donné que la détection rapide des failles tente de se connecter aux VM et accède aux interfaces administrateur exposées, elle peut potentiellement accéder aux données sensibles ou avoir un impact sur vos ressources avec des résultats indésirables. Utilisez la détection rapide des failles pour analyser les ressources de test et, si possible, évitez d'utiliser le service dans des environnements de production.
Les recommandations suivantes peuvent être utilisées pour protéger vos ressources :
- Exécuter les analyses dans un environnement de test. Créez un projet Compute Engine distinct et chargez-y votre application et vos données. Si vous utilisez la Google Cloud CLI, vous pouvez spécifier le projet cible en tant qu'option de ligne de commande lorsque vous importez votre application.
- Utiliser un compte de test. Créez un compte utilisateur qui n'a pas accès à des données sensibles ou à des opérations malveillantes, et utilisez-le lors de l'analyse de vos VM.
- Sauvegarder vos données. Pensez à sauvegarder vos données avant de procéder à l'analyse.
- Analyser les ressources hors production. Exécutez des analyses sur des ressources hors production pour détecter les failles avant de les déployer en production.
Avant de procéder à l'analyse, effectuez un audit minutieux de votre application afin de détecter tout élément susceptible d'affecter les données ou les systèmes ne faisant pas partie du champ d'application de l'analyse.
Étapes suivantes
- Pour obtenir des instructions sur l'activation et l'utilisation de Rapid Vulnerability Detection, consultez la page Utiliser Rapid Vulnerability Detection.
- Pour en savoir plus sur les tests, consultez la page Tester la détection rapide des failles.