Questa pagina fornisce una panoramica di Rapid Vulnerability Detection, tra cui:
- Le destinazioni della scansione supportate da Rapid Vulnerability Detection
- I tipi di analisi eseguiti da Rapid Vulnerability Detection
- I tipi di vulnerabilità (risultati della scansione) rilevati da Rapid Vulnerability Detection
Questa pagina include anche alcune best practice per testare le scansioni di Rapid Vulnerability Detection.
Panoramica
Rapid Vulnerability Detection, un servizio integrato di Security Command Center Premium, è uno scanner di applicazioni web e di rete a configurazione zero che analizza attivamente gli endpoint pubblici per rilevare le vulnerabilità la cui probabilità è elevata di essere sfruttate, come credenziali deboli, installazioni di software incomplete e interfacce utente amministrative esposte. Il servizio rileva automaticamente endpoint di rete, protocolli, porte aperte, servizi di rete e pacchetti software installati.
I risultati di Rapid Vulnerability Detection sono avvisi precoci delle vulnerabilità che consigliamo di correggere immediatamente. Puoi visualizzare i risultati in Security Command Center.
Target di scansione supportati
Rapid Vulnerability Detection supporta le seguenti risorse:
- Compute Engine
- Rapid Vulnerability Detection supporta solo le VM con un indirizzo IP pubblico. Le VM protette da un firewall o che non hanno un indirizzo IP pubblico vengono escluse dalle analisi.
- Cloud Load Balancing
- Rapid Vulnerability Detection supporta solo bilanciatori del carico esterni.
- Traffico in entrata in Google Kubernetes Engine
- Cloud Run
- Rapid Vulnerability Detection analizza i domini predefiniti forniti da Cloud Run per le applicazioni o i domini personalizzati configurati per i servizi Cloud Run dietro bilanciatori del carico esterni. I domini personalizzati che utilizzano la mappatura dei domini integrata non sono supportati. Tuttavia, i domini predefiniti sono sempre disponibili anche quando si utilizza la mappatura dei domini.
- App Engine
- Rapid Vulnerability Detection analizza solo i domini predefiniti forniti da App Engine per le applicazioni. I domini personalizzati non sono supportati. Tuttavia, i domini predefiniti sono sempre disponibili anche quando vengono utilizzati domini personalizzati.
Scansioni
Rapid Vulnerability Detection esegue scansioni gestite che rilevano le vulnerabilità di N giorni, ovvero vulnerabilità note che possono essere sfruttate per ottenere l'accesso arbitrario ai dati e consentire l'esecuzione di codice in modalità remota. Queste vulnerabilità includono credenziali deboli, installazioni software incomplete e interfacce utente degli amministratori esposte.
Quando abiliti il servizio, le scansioni vengono configurate e gestite automaticamente da Security Command Center. I team di sicurezza non devono fornire URL di destinazione o avviare manualmente le scansioni. Rapid Vulnerability Detection utilizza Cloud Asset Inventory per recuperare informazioni su nuove VM e applicazioni nei tuoi progetti ed esegue scansioni una volta alla settimana per trovare endpoint pubblici e rilevare le vulnerabilità. Lo user agent che esegue Rapid Vulnerability Detection si chiama TsunamiSecurityScanner in Esplora log.
Rapid Vulnerability Detection analizza le destinazioni supportate per le porte aperte (HTTP, HTTPS, SSH, MySQL e altre) e valuta le destinazioni di scansione per scoprire le applicazioni web installate e i servizi di rete esposti. Poiché il Rapid Vulnerability Detection esegue diverse scansioni sugli endpoint pubblici e utilizza le "fingerprint" per identificare i servizi noti, le vulnerabilità ad alto rischio e ad alta gravità vengono segnalate con un tasso di falsi positivi minimo.
Per scoprire di più sugli asset di destinazione della scansione supportati da Rapid Vulnerability Detection, consulta Target di scansione supportati.
Scansiona i risultati e le correzioni
La tabella seguente elenca i tipi di rilevamento di Rapid Vulnerability Detection e i passaggi di correzione suggeriti.
Le scansioni di Rapid Vulnerability Detection identificano i seguenti tipi di risultati.
Tipo di risultato | Descrizione del risultato | I primi 10 codici OWASP |
---|---|---|
Risultati credenziali inefficaci | ||
WEAK_CREDENTIALS
|
Questo rilevatore verifica la presenza di credenziali inefficaci utilizzando metodi di forza bruta ncrack. Servizi supportati: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM Soluzione : applica norme efficaci per le password. Crea credenziali univoche per i tuoi servizi ed evita di utilizzare parole del dizionario nelle password. |
2021 A07 2017 A2 |
Risultati dell'interfaccia esposta | ||
ELASTICSEARCH_API_EXPOSED
|
L'
API Elasticsearch consente ai chiamanti di eseguire query arbitrarie, scrivere ed eseguire script e aggiungere ulteriori documenti al servizio.
Soluzione: rimuovi l'accesso diretto all'API Elasticsearch instradando le richieste tramite un'applicazione o limita l'accesso ai soli utenti autenticati. Per maggiori informazioni, vedi Impostazioni di sicurezza in Elasticsearch. |
2021 A01, A05 2017 A5, A6 |
EXPOSED_GRAFANA_ENDPOINT
|
In Grafana dalla versione 8.0.0 alla versione 8.3.0, gli utenti possono accedere senza autenticazione a un endpoint che presenta una vulnerabilità directory attraversal che consente a qualsiasi utente di leggere qualsiasi file sul server senza autenticazione. Per maggiori informazioni, vedi CVE-2021-43798. Soluzione: applica la patch a Grafana o esegui l'upgrade di Grafana a una versione successiva. Per maggiori informazioni, consulta Traversal del percorso di Grafana. |
2021 A06, A07 2017 A2, A9 |
EXPOSED_METABASE
|
Le versioni dalla x.40.0 alla x.40.4 di Metabase, una piattaforma di analisi dei dati open source, presentano una vulnerabilità nel supporto delle mappe GeoJSON personalizzate e una potenziale inclusione di file locali, comprese le variabili di ambiente. Gli URL non sono stati convalidati prima del caricamento. Per maggiori informazioni, vedi CVE-2021-41277. Soluzione:esegui l'upgrade alle versioni di manutenzione 0.40.5 o successive o 1.40.5 o successive. Per maggiori informazioni, consulta La convalida degli URL GeoJSON può esporre file del server e variabili di ambiente a utenti non autorizzati. |
2021 A06 2017 A3, A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
Questo rilevatore controlla se gli endpoint sensibili dell'attuatore delle applicazioni
Spring Boot sono esposti. Alcuni degli endpoint predefiniti, come /heapdump , potrebbero esporre informazioni sensibili. Altri endpoint, come /env , potrebbero portare all'esecuzione di codice remoto.
Al momento, è selezionata solo l'opzione /heapdump .
Soluzione : disattiva l'accesso agli endpoint sensibili dell'attuatore. Per maggiori informazioni, consulta Protezione degli endpoint HTTP. |
2021 A01, A05 2017 A5, A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
Questo rilevatore verifica se l'
API Hadoop Yarn ResourceManager, che controlla le risorse di calcolo e archiviazione di un cluster Hadoop, è esposta e consente l'esecuzione di codice non autenticata.
Soluzione: utilizza gli controllo dell'accesso dell'accesso con l'API. |
2021 A01, A05 2017 A5, A6 |
JAVA_JMX_RMI_EXPOSED
|
L'
estensione Java Management (JMX) consente il monitoraggio e la diagnostica remoti delle applicazioni Java. L'esecuzione di JMX con l'endpoint Remote Method Invocation non protetto consente a qualsiasi utente remoto di creare un javax.management.loading.MLet MBean e di utilizzarlo per creare nuovi MBean da URL arbitrari.
Soluzione: per configurare correttamente il monitoraggio remoto, consulta Monitoraggio e gestione con la tecnologia JMX. |
2021 A01, A05 2017 A5, A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
Questo rilevatore controlla se è esposto un
blocco note Jupyter non autenticato. Jupyter consente l'esecuzione remota di codice sulla macchina host.
Un blocco note Jupyter non autenticato mette la VM di hosting a rischio di esecuzione
di codice remota.
Soluzione: aggiungi l'autenticazione dei token al server di blocco note Jupyter oppure usa versioni più recenti del blocco note Jupyter che utilizzano l'autenticazione dei token per impostazione predefinita. |
2021 A01, A05 2017 A5, A6 |
KUBERNETES_API_EXPOSED
|
L'
API Kubernetes è esposta ed è accessibile ai chiamanti non autenticati. Ciò consente l'esecuzione arbitraria di codice sul cluster Kubernetes.
Soluzione: richiedi l'autenticazione per tutte le richieste API. Per ulteriori informazioni, consulta la guida sull' autenticazione dell'API Kubernetes. |
2021 A01, A05 2017 A5, A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
Questo rilevatore controlla se un'installazione di WordPress non è stata completata. Un'installazione di WordPress non completata espone la pagina /wp-admin/install.php , che consente a un utente malintenzionato di impostare la password di amministratore e, potenzialmente, di compromettere il sistema.
Soluzione: completa l' installazione di WordPress. |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
Questo rilevatore verifica la presenza di un'istanza
Jenkins non autenticata inviando un ping di probe all'endpoint /view/all/newJob come
visitatore anonimo. Un'istanza Jenkins autenticata mostra il modulo createItem , che consente la creazione di job arbitrari che potrebbero portare all'esecuzione remota di codice.
Soluzione: segui la guida di Jenkins sulla gestione della sicurezza per bloccare l'accesso non autenticato. |
2021 A01, A05 2017 A5, A6 |
Risultati software vulnerabili | ||
APACHE_HTTPD_RCE
|
In Apache HTTP Server 2.4.49 è stato rilevato un difetto che consente a un utente malintenzionato di utilizzare un attacco path traversal per mappare gli URL ai file al di fuori della radice prevista del documento e vedere l'origine dei file interpretati, come gli script CGI. È noto che questo problema è sfruttato in natura. Questo problema riguarda Apache 2.4.49 e 2.4.50, ma non le versioni precedenti. Per ulteriori informazioni su questa vulnerabilità, consulta: Soluzione: proteggi i file al di fuori della radice dei documenti configurando l'istruzione "Requiry all deny" in Apache HTTP Server. |
2021 A01, A06 2017 A5, A9 |
APACHE_HTTPD_SSRF
|
Gli utenti malintenzionati possono creare un URI per il server web Apache per fare in modo che Soluzione : esegui l'upgrade del server HTTP Apache a una versione successiva. |
2021 A06, A10 2017 A9 |
CONSUL_RCE
|
Gli utenti malintenzionati possono eseguire codice arbitrario su un server di Consul perché l'istanza di Consul è configurata con
Dopo il controllo, Rapid Vulnerability Detection esegue la pulizia e l'annullamento della registrazione del servizio utilizzando
l'endpoint REST Soluzione: imposta abilita-script-checks su |
2021 A05, A06 2017 A6, A9 |
DRUID_RCE
|
Apache Druid include la possibilità di eseguire codice JavaScript fornito dall'utente incorporato in vari tipi di richieste. Questa funzionalità è destinata all'uso in ambienti con attendibilità elevata ed è disabilitata per impostazione predefinita. Tuttavia, in Druid 0.20.0 e versioni precedenti, è possibile che un utente autenticato invii una richiesta appositamente creata che costringe Druid a eseguire il codice JavaScript fornito dall'utente per quella richiesta, a prescindere dalla configurazione del server. Questo può essere sfruttato per eseguire il codice sulla macchina di destinazione con i privilegi del processo del server Druid. Per maggiori informazioni, consulta Dettagli CVE-2021-25646. Soluzione : esegui l'upgrade di Apache Druid alla versione successiva. |
2021 A05, A06 2017 A6, A9 |
DRUPAL_RCE
Questa categoria include due vulnerabilità in Drupal. Più risultati di questo tipo possono indicare più di una vulnerabilità. |
Le versioni di
Drupal precedenti alla 7.58, 8.x prima della 8.3.9, 8.4.x prima della 8.4.6
e 8.5.x prima della 8.5.1 sono vulnerabili all'esecuzione remota di codice nelle richieste AJAX
dell'API Form.
Soluzione : esegui l'upgrade a versioni alternative di Drupal. |
2021 A06 2017 A9 |
Le versioni 8.5.x di
Drupal precedenti alla 8.5.11 e 8.6.x precedenti alla 8.6.10 sono vulnerabili all'esecuzione remota di codice quando è abilitato il modulo RESTful Web Service o JSON:API. Questa vulnerabilità può essere sfruttata da un utente malintenzionato non autenticato utilizzando una richiesta POST personalizzata.
Soluzione : esegui l'upgrade a versioni alternative di Drupal. |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Una vulnerabilità nelle versioni 1.11.0, 1.11.1 e 1.11.2 di
Apache Flink consente a utenti malintenzionati di leggere qualsiasi file nel file system locale di JobManager tramite l'interfaccia REST del processo JobManager. L'accesso è limitato ai file accessibili dal processo JobManager.
Soluzione: se le istanze di Flink sono esposte, esegui l'upgrade a Flink 1.11.3 o 1.12.0. |
2021 A01, A05, A06 2017 A5, A6, A9 |
GITLAB_RCE
|
Nelle versioni 11.9 e successive di GitLab Community Edition (CE) ed Enterprise Edition (EE), GitLab non convalida correttamente i file immagine trasmessi a un parser di file. Un utente malintenzionato può sfruttare questa vulnerabilità per l'esecuzione di comandi remoti. Soluzione: esegui l'upgrade a GitLab CE o EE release 13.10.3, 13.9.6 e 13.8.8 o successive. Per maggiori informazioni, consulta Azione richiesta dai clienti autogestiti in risposta alla CVE-2021-22205. |
2021 A06 2017 A9 |
GoCD_RCE
|
In GoCD 21.2.0 e versioni precedenti, è presente un endpoint a cui è possibile accedere senza autenticazione. Questo endpoint ha una vulnerabilità di attraversamento della directory che consente a un utente di leggere qualsiasi file sul server senza autenticazione. Soluzione:esegui l'upgrade alla versione 21.3.0 o successiva. Per maggiori informazioni, vedi Note di rilascio di GoCD 21.3.0. |
2021 A06, A07 2017 A2, A9 |
JENKINS_RCE
|
Le versioni 2.56 e precedenti di
Jenkins, e 2.46.1 LTS e precedenti sono vulnerabili all'esecuzione di codice remota. Questa vulnerabilità può essere attivata da un utente malintenzionato non autenticato utilizzando un oggetto Java serializzato dannoso.
Soluzione : installa una versione alternativa di Jenkins. |
2021 A06, A08 2017 A8, A9 |
JOOMLA_RCE
Questa categoria include due vulnerabilità in Joomla. Più risultati di questo tipo possono indicare più di una vulnerabilità. |
Le versioni 1.5.x, 2.x e 3.x di
Joomla precedenti alla 3.4.6 sono vulnerabili all'esecuzione di codice da remoto. Questa vulnerabilità può essere attivata con un'intestazione creata
contenente oggetti PHP serializzati.
Soluzione : installa una versione alternativa di Joomla. |
2021 A06, A08 2017 A8, A9 |
Le versioni da 3.0.0 a 3.4.6 di
Joomla sono vulnerabili all'esecuzione di codice da remoto. Questa vulnerabilità può essere attivata inviando una richiesta POST che contiene
un oggetto PHP serializzato creato.
Soluzione : installa una versione alternativa di Joomla. |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
In Apache Log4j2 2.14.1 e versioni precedenti, le funzionalità JNDI utilizzate nelle configurazioni, nei messaggi di log e nei parametri non proteggono da LDAP controllati da utenti malintenzionati e da altri endpoint relativi a JNDI. Per maggiori informazioni, consulta CVE-2021-44228. Soluzione: per informazioni sulla correzione, consulta Vulnerabilità di sicurezza di Apache Log4j. |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
MantisBT alla versione 2.3.0 consente la reimpostazione arbitraria della password e l'accesso amministrativo non autenticato fornendo un valore confirm_hash vuoto a verify.php .
Soluzione: aggiorna MantisBT a una versione più recente o segui le istruzioni di Mantis per applicare una correzione di sicurezza critica. |
2021 A06 2017 A9 |
OGNL_RCE
|
Le istanze del server Confluence e del data center contengono una vulnerabilità di iniezione OGNL che consente a un utente malintenzionato non autenticato di eseguire codice arbitrario. Per maggiori informazioni, consulta CVE-2021-26084. Soluzione: per informazioni sulla correzione, consulta Iniezione di OGNL Confluence Server Webwork - CVE-2021-26084. |
2021 A03 2017 A1 |
OPENAM_RCE
|
I server OpenAM 14.6.2 e precedenti e i server ForgeRock AM 6.5.3 e versioni precedenti presentano una vulnerabilità Java di deserializzazione nel parametro Soluzione:esegui l'upgrade a una versione più recente. Per informazioni sulla correzione di ForgeRock, consulta AM Security Advisory #202104. |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
Alcune versioni del prodotto Oracle WebLogic Server di Oracle Fusion Middleware (componente: Console) contengono una vulnerabilità, tra cui le versioni 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Questa vulnerabilità facilmente sfruttabile consente a un utente malintenzionato non autenticato con accesso alla rete tramite HTTP di compromettere un server Oracle WebLogic. Gli attacchi andati a buon fine di questa vulnerabilità possono causare il rilevamento di Oracle WebLogic Server. Per maggiori informazioni, vedi CVE-2020-14882. Soluzione: per informazioni sulle patch, consulta Oracle Critical Patch Update Advisory - Ottobre 2020. |
2021 A06, A07 2017 A2, A9 |
PHPUNIT_RCE
|
Le versioni
PHPUnit precedenti alla 5.6.3 consentono l'esecuzione di codice remoto con una
singola richiesta POST non autenticata.
Soluzione: esegui l'upgrade alle versioni più recenti della PHPUnit. |
2021: A05 2017: A6 |
PHP_CGI_RCE
|
Le versioni di
PHP precedenti alla 5.3.12 e le versioni 5.4.x precedenti alla 5.4.2, se
configurate come script CGI, consentono l'esecuzione di codice remoto. Il codice vulnerabile non gestisce correttamente le stringhe di query prive di un carattere = (segno di uguale). In questo modo gli utenti malintenzionati possono aggiungere opzioni della riga di comando che vengono eseguite sul server.
Soluzione: installa una versione PHP alternativa. |
2021 A05, A06 2017 A6, A9 |
PORTAL_RCE
|
La deserializzazione dei dati non attendibili nelle versioni di
Liferay Portal precedenti alla 7.2.1 CE GA2 consente a utenti malintenzionati remoti
di eseguire codice arbitrario tramite servizi web JSON.
Soluzione : esegui l'upgrade alle versioni più recenti del portale Liferay. |
2021 A06, A08 2017 A8, A9 |
REDIS_RCE
|
Se un'istanza Redis non richiede l'autenticazione per eseguire i comandi di amministrazione, i malintenzionati potrebbero essere in grado di eseguire codice arbitrario. Soluzione : configura Redis per richiedere l'autenticazione. |
2021 A01, A05 2017 A5, A6 |
SOLR_FILE_EXPOSED
|
L'autenticazione non è abilitata in Apache Solr, un server di ricerca open source. Quando Apache Solr non richiede l'autenticazione, un utente malintenzionato può creare direttamente una richiesta per abilitare una configurazione specifica e, infine, implementare una falsificazione di richieste lato server (SSRF) o leggere file arbitrari. Soluzione : esegui l'upgrade a versioni alternative di Apache Solr. |
2021 A07, A10 2017 A2 |
SOLR_RCE
|
Le versioni di
Apache Solr da 5.0.0 ad Apache Solr 8.3.1 sono vulnerabili all'esecuzione di codice in remoto tramite VelocityResponseWriter se params.resource.loader.enabled è impostato su true . In questo modo gli utenti malintenzionati possono creare un parametro
che contiene un modello di velocità dannoso.
Soluzione : esegui l'upgrade a versioni alternative di Apache Solr. |
2021 A06 2017 A9 |
STRUTS_RCE
Questa categoria include tre vulnerabilità in Apache Struts. Più risultati di questo tipo possono indicare più di una vulnerabilità. |
Le versioni di
Apache Struts precedenti alla 2.3.32 e 2.5.x precedenti alla 2.5.10.1 sono vulnerabili all'esecuzione di codice remota. La vulnerabilità può essere attivata da un utente malintenzionato non autenticato che fornisce un'intestazione Content-Type creata appositamente.
Soluzione : installa una versione alternativa di Apache Struts. |
2021 A06 2017 A9 |
Il
plug-in REST nelle versioni di Apache Struts da 2.1.1 a 2.3.x precedenti alle 2.3.34 e 2.5.x prima della 2.5.13 sono vulnerabili all'esecuzione remota di codice durante la deserializzazione dei payload XML creati.
Soluzione : installa una versione alternativa di Apache Struts. |
2021 A06, A08 2017 A8, A9 |
|
Le versioni da 2.3 a 2.3.34 e da 2.5 a 2.5.16 di
Apache Struts sono vulnerabili all'esecuzione di codice remoto quando alwaysSelectFullNamespace è impostato su true e sono presenti determinate altre configurazioni di azioni.
Soluzione : installa la versione 2.3.35 o 2.5.17. |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Le versioni 9.x di
Apache Tomcat precedenti alla 9.0.31, 8.x precedenti alla 8.5.51, 7.x precedenti alla 7.0.100 e tutte le 6.x sono vulnerabili alla divulgazione di codice sorgente e configurazione tramite un connettore del protocollo Apache JServ esposto. In alcuni casi, questa opzione viene utilizzata per eseguire codice da remoto se il caricamento di file è consentito.
Soluzione:esegui l'upgrade a versioni alternative di Apache Tomcat. |
2021 A06 2017 A3, A9 |
VBULLETIN_RCE
|
I server
vBulletin che eseguono le versioni dalla 5.0.0 alla 5.5.4 sono vulnerabili all'esecuzione di codice remota. Questa vulnerabilità può essere sfruttata da un utente malintenzionato non autenticato utilizzando un parametro di query in una richiesta routestring .
Soluzione : esegui l'upgrade a versioni alternative di VMware vCenter Server. |
2021 A03, A06 2017 A1, A9 |
VCENTER_RCE
|
Le versioni di
VMware vCenter Server 7.x prima della 7.0 U1c, 6.7 prima della 6.7 U3l
e 6.5 prima della 6.5 U3n sono vulnerabili all'esecuzione di codice remota. Questa vulnerabilità può essere attivata da un utente malintenzionato che carica un file Java Server Pages creato in una directory accessibile dal web e attiva l'esecuzione del file.
Soluzione : esegui l'upgrade a versioni alternative di VMware vCenter Server. |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
Alcune versioni del prodotto Oracle WebLogic Server di Oracle Fusion Middleware (componente: Console) contengono una vulnerabilità nell'esecuzione di codice in remoto, tra cui le versioni 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 e 14.1.1.0.0. Questa vulnerabilità è correlata ai CVE-2020-14750, CVE-2020-14882 e CVE-2020-14883. Per maggiori informazioni, vedi CVE-2020-14883. Soluzione: per informazioni sulle patch, consulta Oracle Critical Patch Update Advisory - Ottobre 2020. |
2021 A06, A07 2017 A2, A9 |
Esempio di risultati
I risultati di Rapid Vulnerability Detection possono essere esportati in JSON con la dashboard di Security Command Center, Google Cloud CLI o l'API Security Command Center. L'output JSON per i risultati è simile al seguente:
{
"finding": {
"canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
"category": "WEAK_CREDENTIALS",
"compliances": [
{
"ids": [
"A2"
],
"standard": "owasp",
"version": "2017"
},
{
"ids": [
"A07"
],
"standard": "owasp",
"version": "2021"
}
],
"contacts": {
"security": {
"contacts": [
{
"email": "EMAIL_ADDRESS_1"
},
{
"email": "EMAIL_ADDRESS_2"
}
]
},
"technical": {
"contacts": [
{
"email": "EMAIL_ADDRESS_3"
}
]
}
},
"createTime": "2021-08-19T06:26:20.038Z",
"description": "Well known or weak credentials have been detected.",
"eventTime": "2022-06-24T19:21:22.783Z",
"findingClass": "MISCONFIGURATION",
"mute": "UNDEFINED",
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
"parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
"resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"securityMarks": {
"name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
},
"severity": "CRITICAL",
"sourceProperties": {
"description": "Well known or weak credentials have been detected.",
"targets": [
{
"ipv4Address": {
"address": "IP_ADDRESS",
"subnetMask": 32
},
"port": PORT_NUMBER,
"resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_NAME/instances/VM_NAME",
"transportProtocol": "TCP"
}
]
},
"state": "ACTIVE"
},
"resource": {
"displayName": "PROJECT_NAME",
"name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"parentDisplayName": "ORGANIZATION_NAME",
"parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
"projectDisplayName": "PROJECT_NAME",
"projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
"type": "google.cloud.resourcemanager.Project"
}
}
L'esempio precedente utilizza le seguenti variabili segnaposto:
EMAIL_ADDRESS_[N]
: gli indirizzi email delle persone o delle entità a cui inviare la notifica quando viene rilevato un risultato.FINDING_ID
: un valore univoco che identifica il risultato.IP_ADDRESS
: l'indirizzo IP in cui è stata rilevata la vulnerabilità.ORGANIZATION_ID
: l'identificatore dell'organizzazione in cui è stata rilevata la vulnerabilità.ORGANIZATION_NAME
: il nome dell'organizzazione in cui è stata rilevata la vulnerabilità.PORT_NUMBER
: il numero di porta in cui è stata rilevata la vulnerabilità.PROJECT_ID
: l'identificatore alfanumerico del progetto in cui è stata rilevata la vulnerabilità.PROJECT_NUMBER
: l'identificatore numerico del progetto in cui è stata rilevata la vulnerabilità.SOURCE_ID
: l'ID numerico univoco all'interno della tua organizzazione che identifica il servizio Security Command Center che ha rilevato la vulnerabilità.VM_NAME
: la macchina virtuale (VM) Compute Engine in cui è stata rilevata la vulnerabilità.ZONE_NAME
: la zona Compute Engine in cui si trova la destinazione della scansione.
Best practice
Poiché Rapid Vulnerability Detection tenta di accedere alle VM e alle interfacce utente degli amministratori esposte, potrebbe potenzialmente accedere a dati sensibili o influire sulle risorse con risultati indesiderati. Utilizza Rapid Vulnerability Detection per analizzare le risorse di test e, se possibile, evita di utilizzare il servizio in ambienti di produzione.
Per salvaguardare le tue risorse, puoi utilizzare i seguenti consigli:
- Esegui scansioni in un ambiente di test. Crea un progetto Compute Engine separato e carica l'applicazione e i dati al suo interno. Se utilizzi Google Cloud CLI, puoi specificare il progetto di destinazione come opzione della riga di comando quando carichi l'app.
- Usa un account di prova. Crea un account utente che non ha accesso a dati sensibili o operazioni dannose e utilizzalo durante l'analisi delle VM.
- Effettua il backup dei dati. Valuta la possibilità di eseguire un backup dei dati prima della scansione.
- Analizza le risorse non di produzione. Esegui scansioni su risorse non di produzione per individuare le vulnerabilità prima di eseguirne il deployment in produzione.
Prima di eseguire la scansione, controlla attentamente l'applicazione per individuare eventuali funzionalità che potrebbero interessare dati o sistemi al di fuori dell'ambito desiderato della scansione.
Passaggi successivi
- Per istruzioni su come abilitare e utilizzare Rapid Vulnerability Detection, consulta Utilizzo di Rapid Vulnerability Detection.
- Per informazioni sui test, consulta Testing Rapid Vulnerability Detection.