Ringkasan Deteksi Kerentanan Cepat

Halaman ini menyediakan ringkasan Deteksi Kerentanan Cepat, termasuk:

  • Pemindaian menargetkan yang didukung Deteksi Kerentanan Cepat
  • Jenis pemindaian yang dilakukan Deteksi Kerentanan Cepat
  • Jenis kerentanan (temuan pemindaian) yang terdeteksi oleh Deteksi Kerentanan Cepat

Halaman ini juga berisi beberapa praktik terbaik untuk menguji pemindaian Deteksi Kerentanan Cepat.

Ringkasan

Deteksi Kerentanan Cepat, layanan bawaan Security Command Center Premium, adalah pemindai jaringan dan aplikasi web tanpa konfigurasi yang secara aktif memindai endpoint publik untuk mendeteksi kerentanan yang sangat mungkin dieksploitasi, seperti kredensial yang lemah, penginstalan software yang tidak lengkap, dan antarmuka pengguna administrator yang terekspos. Layanan secara otomatis menemukan endpoint jaringan, protokol, port terbuka, layanan jaringan, dan paket software yang diinstal.

Temuan Deteksi Kerentanan Cepat adalah peringatan awal tentang kerentanan yang sebaiknya segera diperbaiki. Anda dapat melihatnya di Security Command Center.

Target pemindaian yang didukung

Deteksi Kerentanan Cepat mendukung referensi berikut:

  • Compute Engine
    • Deteksi Kerentanan Cepat hanya mendukung VM yang memiliki alamat IP publik. VM yang berada di belakang firewall atau yang tidak memiliki alamat IP publik akan dikecualikan dari pemindaian.
  • Cloud Load Balancing
    • Deteksi Kerentanan Cepat hanya mendukung load balancer eksternal.
  • Traffic masuk Google Kubernetes Engine
  • Cloud Run
    • Deteksi Kerentanan Cepat memindai domain default yang disediakan Cloud Run untuk aplikasi atau domain kustom Anda yang dikonfigurasi untuk layanan Cloud Run di belakang load balancer eksternal. Domain kustom yang menggunakan pemetaan domain bawaan tidak didukung. Namun, domain default selalu tersedia meskipun pemetaan domain digunakan.
  • App Engine
    • Deteksi Kerentanan Cepat hanya memindai domain default yang disediakan App Engine untuk aplikasi Anda. Domain kustom tidak didukung. Namun, domain default selalu tersedia meskipun domain kustom digunakan.

Pemindaian

Deteksi Kerentanan Cepat menjalankan pemindaian terkelola yang mendeteksi kerentanan N-day, yang merupakan kerentanan umum yang dapat dieksploitasi untuk mendapatkan akses data arbitrer dan memungkinkan eksekusi kode jarak jauh. Kerentanan tersebut mencakup kredensial yang lemah, penginstalan software yang tidak lengkap, dan antarmuka pengguna administrator yang terekspos.

Jika Anda mengaktifkan layanan ini, pemindaian akan otomatis dikonfigurasi dan dikelola oleh Security Command Center. Tim keamanan Anda tidak perlu menyediakan URL target atau memulai pemindaian secara manual. Deteksi Kerentanan Cepat menggunakan Inventaris Aset Cloud untuk mengambil informasi tentang VM dan aplikasi baru di project Anda, serta menjalankan pemindaian seminggu sekali untuk menemukan endpoint publik dan mendeteksi kerentanan. Agen pengguna yang menjalankan Rapid Vulnerability Detection diberi nama TsunamiSecurityScanner di Logs Explorer.

Deteksi Kerentanan Cepat memindai target yang didukung untuk port terbuka (HTTP, HTTPS, SSH, MySQL, dan lainnya), serta mengevaluasi target pemindaian untuk mempelajari aplikasi web yang diinstal dan layanan jaringan yang terekspos. Karena Deteksi Kerentanan Cepat melakukan beberapa pemindaian pada endpoint publik dan menggunakan "sidik jari" untuk mengidentifikasi layanan yang diketahui, kerentanan berisiko tinggi dan memiliki tingkat keparahan tinggi dilaporkan dengan rasio positif palsu yang minimal.

Untuk mempelajari lebih lanjut aset target pemindaian yang didukung oleh Deteksi Kerentanan Cepat, lihat Target pemindaian yang didukung.

Memindai temuan dan perbaikan

Tabel berikut mencantumkan jenis temuan Deteksi Kerentanan Cepat dan langkah-langkah perbaikan yang disarankan.

Pemindaian Deteksi Kerentanan Cepat mengidentifikasi jenis temuan berikut.

Jenis temuan Menemukan deskripsi 10 kode teratas versi OWASP
Temuan kredensial yang lemah
WEAK_CREDENTIALS Detektor ini memeriksa kredensial yang lemah menggunakan metode brute force ncrack.

Layanan yang didukung: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM

Perbaikan: Menerapkan kebijakan sandi yang kuat. Buat kredensial unik untuk layanan Anda dan hindari penggunaan kata-kata kamus dalam sandi.

 2021
A07

2017
A2
Temuan antarmuka yang terekspos
ELASTICSEARCH_API_EXPOSED Elasticsearch API memungkinkan pemanggil melakukan kueri arbitrer, menulis dan mengeksekusi skrip, serta menambahkan dokumen lain ke layanan.

Perbaikan: Hapus akses langsung ke Elasticsearch API dengan mengarahkan permintaan melalui aplikasi, atau membatasi akses hanya untuk pengguna yang diautentikasi. Untuk mengetahui informasi selengkapnya, lihat Setelan keamanan di Elasticsearch.

 2021
A01, A05

2017
A5, A6
EXPOSED_GRAFANA_ENDPOINT

Pada Grafana 8.0.0 sampai 8.3.0, tanpa autentikasi, pengguna dapat mengakses endpoint yang memiliki kerentanan directory traversal sehingga dapat membaca file apa pun di server tanpa autentikasi. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-43798.

Perbaikan: Patch Grafana atau mengupgrade Grafana ke versi yang lebih baru. Untuk informasi selengkapnya, lihat Grafana path traversal.

2021
A06, A07

2017
A2, A9
EXPOSED_METABASE

Metabase versi x.40.0 hingga x.40.4, sebuah platform analisis data open source, memiliki kerentanan dalam dukungan peta GeoJSON kustom dan potensi penyertaan file lokal, termasuk variabel lingkungan. URL tidak divalidasi sebelum dimuat. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-41277.

Perbaikan: Upgrade ke rilis pemeliharaan 0.40.5 atau yang lebih baru atau 1.40.5 atau yang lebih baru. Untuk mengetahui informasi selengkapnya, lihat Validasi URL GeoJSON dapat mengekspos file server dan variabel lingkungan kepada pengguna yang tidak diberi otorisasi.

2021
A06

2017
A3, A9
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT Detektor ini memeriksa apakah endpoint Actuator sensitif dari aplikasi Spring Boot terekspos. Beberapa endpoint default, seperti /heapdump, mungkin mengekspos informasi sensitif. Endpoint lain, seperti /env, dapat menyebabkan eksekusi kode jarak jauh. Saat ini, hanya /heapdump yang dicentang.

Perbaikan: Nonaktifkan akses ke endpoint Aktuator sensitif. Untuk mengetahui informasi selengkapnya, lihat Mengamankan Endpoint HTTP.

 2021
A01, A05

2017
A5, A6
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API Detektor ini memeriksa apakah Hadoop Yarn ResourceManager API, yang mengontrol resource komputasi dan penyimpanan cluster Hadoop, terekspos dan memungkinkan eksekusi kode yang tidak diautentikasi.

Perbaikan: Gunakan daftar kontrol akses dengan API.

 2021
A01, A05

2017
A5, A6
JAVA_JMX_RMI_EXPOSED Java Management Extension (JMX) memungkinkan pemantauan dan diagnostik jarak jauh untuk aplikasi Java. Menjalankan JMX dengan endpoint Pemanggilan Metode Jarak Jauh yang tidak dilindungi memungkinkan pengguna jarak jauh membuat javax.management.loading.MLet MBean dan menggunakannya untuk membuat MB baru dari URL arbitrer.

Perbaikan: Untuk mengonfigurasi pemantauan jarak jauh dengan benar, lihat Pemantauan dan Pengelolaan Menggunakan Teknologi JMX.

 2021
A01, A05

2017
A5, A6
JUPYTER_NOTEBOOK_EXPOSED_UI Detektor ini memeriksa apakah Jupyter Notebook yang tidak diautentikasi terekspos. Jupyter memungkinkan eksekusi kode jarak jauh sesuai desain pada mesin host. Jupyter Notebook yang tidak diautentikasi membuat VM hosting berisiko mengalami eksekusi kode jarak jauh.

Perbaikan: Tambahkan autentikasi token ke server Jupyter Notebook Anda, atau gunakan versi Jupyter Notebook yang lebih baru yang menggunakan autentikasi token secara default.

 2021
A01, A05

2017
A5, A6
KUBERNETES_API_EXPOSED Kubernetes API diekspos dan dapat diakses oleh pemanggil yang tidak diautentikasi. Hal ini memungkinkan eksekusi kode arbitrer di cluster Kubernetes.

Perbaikan: Mewajibkan autentikasi untuk semua permintaan API. Untuk mengetahui informasi selengkapnya, lihat panduan Mengautentikasi Kubernetes API.

 2021
A01, A05

2017
A5, A6
UNFINISHED_WORDPRESS_INSTALLATION Pendeteksi ini memeriksa apakah penginstalan WordPress belum selesai. Penginstalan WordPress yang belum selesai akan menampilkan halaman /wp-admin/install.php, yang memungkinkan penyerang menyetel sandi admin dan, mungkin, menyusupi sistem.

Perbaikan: Selesaikan penginstalan WordPress.

 2021
A05

2017
A6
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE Pendeteksi ini memeriksa adanya instance Jenkins yang tidak diautentikasi dengan mengirimkan ping pemeriksaan ke endpoint /view/all/newJob sebagai pengunjung anonim. Instance Jenkins yang telah diautentikasi menampilkan formulir createItem, yang memungkinkan pembuatan tugas arbitrer yang dapat mengakibatkan eksekusi kode jarak jauh.

Perbaikan: Ikuti panduan Jenkins tentang mengelola keamanan untuk memblokir akses yang tidak diautentikasi.

 2021
A01, A05

2017
A5, A6
Temuan software yang rentan
APACHE_HTTPD_RCE

Kecacatan ditemukan pada Server HTTP Apache 2.4.49 yang memungkinkan penyerang menggunakan serangan path traversal untuk memetakan URL ke file di luar root dokumen yang diharapkan dan melihat sumber file yang ditafsirkan, seperti skrip CGI. Isu ini diketahui dieksploitasi di alam liar. Masalah ini mempengaruhi Apache 2.4.49 dan 2.4.50 tetapi tidak versi sebelumnya. Untuk mengetahui informasi selengkapnya tentang kerentanan ini, lihat:

  1. Data CVE CVE-2021-41773
  2. Kerentanan Apache HTTP Server 2.4

Perbaikan: Lindungi file di luar root dokumen dengan mengonfigurasi perintah "require all denied" di Server HTTP Apache.

2021
A01, A06

2017
A5, A9
APACHE_HTTPD_SSRF

Penyerang dapat membuat URI ke server web Apache yang menyebabkan mod_proxy meneruskan permintaan ke server asal yang dipilih oleh penyerang. Masalah ini memengaruhi server HTTP Apache 2.4.48 dan versi sebelumnya. Untuk mengetahui informasi selengkapnya tentang kerentanan ini, lihat:

  1. Data CVE CVE-2021-40438
  2. Kerentanan Apache HTTP Server 2.4

Perbaikan: Upgrade server HTTP Apache ke versi yang lebih baru.

2021
A06, A10

2017
A9
CONSUL_RCE

Penyerang dapat mengeksekusi kode arbitrer di server Consul karena instance Consul dikonfigurasi dengan -enable-script-checks yang disetel ke true dan Consul HTTP API tidak aman serta dapat diakses melalui jaringan. Di Consul 0.9.0 dan yang lebih lama, pemeriksaan skrip diaktifkan secara default. Untuk informasi selengkapnya, lihat Melindungi Konsul dari Risiko RCE dalam Konfigurasi Tertentu. Untuk memeriksa kerentanan ini, Deteksi Kerentanan Cepat mendaftarkan layanan pada instance Consul menggunakan endpoint REST /v1/health/service, yang kemudian akan menjalankan salah satu hal berikut:

  1. Perintah curl ke server jarak jauh di luar jaringan. Penyerang dapat menggunakan perintah curl untuk memindahkan data secara tidak sah dari server.
  2. Perintah printf. Deteksi Kerentanan Cepat kemudian memverifikasi output perintah menggunakan endpoint REST /v1/health/service.

Setelah pemeriksaan, Deteksi Kerentanan Cepat akan membersihkan dan membatalkan pendaftaran layanan menggunakan endpoint REST /v1/agent/service/deregister/.

Perbaikan: Menetapkan pemeriksaan enable-script ke false dalam konfigurasi instance Console.

2021
A05, A06

2017
A6, A9
DRUID_RCE

Apache Druid mencakup kemampuan untuk mengeksekusi kode JavaScript yang disediakan pengguna yang disematkan dalam berbagai jenis permintaan. Fungsionalitas ini dimaksudkan untuk digunakan di lingkungan dengan kepercayaan tinggi, dan dinonaktifkan secara default. Namun, di Druid 0.20.0 dan versi sebelumnya, pengguna terautentikasi dapat mengirim permintaan yang dibuat khusus yang memaksa Druid menjalankan kode JavaScript yang disediakan pengguna untuk permintaan itu, apa pun konfigurasi servernya. Ini dapat dimanfaatkan untuk mengeksekusi kode pada mesin target dengan hak istimewa proses server Druid. Untuk mengetahui informasi selengkapnya, lihat Detail CVE-2021-25646.

Perbaikan: Upgrade Apache Druid ke versi yang lebih baru.

2021
A05, A06

2017
A6, A9
DRUPAL_RCE

Kategori ini mencakup dua kerentanan di Drupal. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan.

 Versi Drupal sebelum 7.58, 8.x sebelum 8.3.9, 8.4.x sebelum 8.4.6, dan 8.5.x sebelum 8.5.1 rentan terhadap eksekusi kode jarak jauh pada permintaan AJAX Form API.

Perbaikan: Upgrade ke versi Drupal alternatif.

 2021
A06

2017
A9
Drupal versi 8.5.x sebelum 8.5.11 dan 8.6.x sebelum 8.6.10 rentan terhadap eksekusi kode jarak jauh jika modul RESTful Web Service atau JSON:API diaktifkan. Kerentanan ini dapat dieksploitasi oleh penyerang yang tidak diautentikasi dengan menggunakan permintaan POST kustom.

Perbaikan: Upgrade ke versi Drupal alternatif.

 2021
A06

2017
A9
FLINK_FILE_DISCLOSURE Kerentanan pada Apache Flink versi 1.11.0, 1.11.1, dan 1.11.2 memungkinkan penyerang membaca file apa pun di sistem file lokal JobManager melalui antarmuka REST dari proses JobManager. Akses dibatasi pada file yang dapat diakses oleh proses JobManager.

Perbaikan: Jika instance Flink Anda terekspos, upgrade ke Flink 1.11.3 atau 1.12.0.

 2021
A01, A05, A06

2017
A5, A6, A9
GITLAB_RCE

Di GitLab Community Edition (CE) dan Enterprise Edition (EE) versi 11.9 dan yang lebih baru, GitLab tidak memvalidasi file gambar yang diteruskan ke parser file dengan benar. Penyerang dapat mengeksploitasi kerentanan ini untuk eksekusi perintah jarak jauh.

Perbaikan: Upgrade ke GitLab CE atau EE rilis 13.10.3, 13.9.6, dan 13.8.8 atau yang lebih baru. Untuk informasi selengkapnya, lihat Tindakan diperlukan oleh pelanggan yang dikelola sendiri sebagai respons terhadap CVE-2021-22205.

2021
A06

2017
A9
GoCD_RCE

Di GoCD 21.2.0 dan yang lebih lama, ada endpoint yang dapat diakses tanpa autentikasi. Endpoint ini memiliki kerentanan directory traversal yang memungkinkan pengguna membaca file apa pun di server tanpa autentikasi.

Perbaikan: Upgrade ke versi 21.3.0 atau yang lebih baru. Untuk informasi selengkapnya, lihat Catatan rilis GoCD 21.3.0.

2021
A06, A07

2017
A2, A9
JENKINS_RCE Jenkins versi 2.56 dan yang lebih lama, serta 2.46.1 LTS dan yang lebih lama rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang tidak diautentikasi menggunakan objek Java serial yang berbahaya.

Perbaikan: Menginstal versi Jenkins alternatif.

 2021
A06, A08

2017
A8, A9
JOOMLA_RCE

Kategori ini mencakup dua kerentanan di Joomla. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan.

Joomla versi 1.5.x, 2.x, dan 3.x sebelum 3.4.6 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu dengan header buatan yang berisi objek PHP serial.

Perbaikan: Instal versi Joomla alternatif.

 2021
A06, A08

2017
A8, A9
Joomla versi 3.0.0 hingga 3.4.6 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu dengan mengirimkan permintaan POST yang berisi objek PHP serial yang dibuat.

Perbaikan: Instal versi Joomla alternatif.

 2021
A06

2017
A9
LOG4J_RCE

Pada Apache Log4j2 2.14.1 dan yang lebih lama, fitur JNDI yang digunakan dalam konfigurasi, pesan log, dan parameter tidak melindungi dari LDAP yang dikontrol penyerang serta endpoint terkait JNDI lainnya. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-44228.

Perbaikan: Untuk informasi perbaikan, lihat Kerentanan Keamanan Apache Log4j.

2021
A06

2017
A9
MANTISBT_PRIVILEGE_ESCALATION MantisBT melalui versi 2.3.0 memungkinkan reset sandi arbitrer dan akses admin yang tidak diautentikasi dengan memberikan nilai confirm_hash kosong ke verify.php.

Perbaikan: Update MantisBT ke versi yang lebih baru atau ikuti petunjuk Mantis untuk menerapkan perbaikan keamanan penting.

 2021
A06

2017
A9
OGNL_RCE

Instance Confluence Server dan Pusat Data berisi kerentanan injeksi OGNL yang memungkinkan penyerang yang tidak diautentikasi untuk mengeksekusi kode arbitrer. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-26084.

Perbaikan: Untuk informasi perbaikan, lihat Injeksi OGNL Server Webwork Server - CVE-2021-26084.

2021
A03

2017
A1
OPENAM_RCE

Server OpenAM 14.6.2 dan versi yang lebih lama serta server AM ForgeRock 6.5.3 dan yang lebih lama memiliki kerentanan deserialisasi Java pada parameter jato.pageSession di beberapa halaman. Eksploitasi tersebut tidak memerlukan autentikasi, dan eksekusi kode jarak jauh dapat dipicu dengan mengirimkan satu permintaan /ccversion/* yang dibuat ke server. Kerentanan ini ada karena penggunaan Sun ONE Application. Untuk mengetahui informasi selengkapnya, lihat CVE-2021-35464.

Perbaikan: Upgrade ke versi yang lebih baru. Untuk informasi tentang perbaikan ForgeRock, lihat AM Security Advisory #202104.

2021
A06

2017
A9
ORACLE_WEBLOGIC_RCE

Versi produk Oracle WebLogic Server tertentu dari Oracle Fusion Middleware (komponen: Console) memiliki kerentanan, termasuk versi 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Kerentanan yang mudah dieksploitasi ini memungkinkan penyerang yang tidak diautentikasi dengan akses jaringan melalui HTTP untuk menyusupi Oracle WebLogic Server. Serangan yang berhasil pada kerentanan ini dapat mengakibatkan pengambilalihan Oracle WebLogic Server. Untuk mengetahui informasi selengkapnya, lihat CVE-2020-14882.

Perbaikan: Untuk informasi patch, lihat Saran Update Patch Penting Oracle - Oktober 2020.

2021
A06, A07

2017
A2, A9
PHPUNIT_RCE Versi PHPUnit sebelum 5.6.3 memungkinkan eksekusi kode jarak jauh dengan satu permintaan POST yang tidak diautentikasi.

Perbaikan: Upgrade ke versi PHPUnit yang lebih baru.

 2021: A05
2017: A6
PHP_CGI_RCE PHP sebelum 5.3.12, dan versi 5.4.x sebelum 5.4.2, jika dikonfigurasi sebagai skrip CGI, memungkinkan eksekusi kode jarak jauh. Kode yang rentan tidak dapat menangani dengan benar string kueri yang tidak memiliki karakter = (sama dengan tanda). Hal ini memungkinkan penyerang menambahkan opsi command line yang dijalankan di server.

Perbaikan: Instal versi PHP alternatif.

 2021
A05, A06

2017
A6, A9
PORTAL_RCE Deserialisasi data yang tidak tepercaya dalam versi Liferay Portal sebelum 7.2.1 CE GA2 memungkinkan penyerang jarak jauh mengeksekusi kode arbitrer melalui layanan web JSON.

Perbaikan: Upgrade ke versi Portal Liferay yang lebih baru.

 2021
A06, A08

2017
A8, A9
REDIS_RCE

Jika instance Redis tidak memerlukan autentikasi untuk mengeksekusi perintah admin, penyerang mungkin dapat mengeksekusi kode arbitrer.

Perbaikan: Mengonfigurasi Redis untuk mewajibkan autentikasi.

 2021
A01, A05

2017
A5, A6
SOLR_FILE_EXPOSED

Autentikasi tidak diaktifkan di Apache Solr, server penelusuran open source. Jika Apache Solr tidak memerlukan autentikasi, penyerang dapat langsung membuat permintaan untuk mengaktifkan konfigurasi tertentu, dan pada akhirnya mengimplementasikan pemalsuan permintaan sisi server (SSRF) atau membaca file arbitrer.

Perbaikan: Upgrade ke versi Apache Solr alternatif.

 2021
A07, A10

2017
A2
SOLR_RCE Apache Solr versi 5.0.0 hingga Apache Solr 8.3.1 rentan terhadap eksekusi kode jarak jauh melalui VelocityResponseWriter jika params.resource.loader.enabled disetel ke true. Hal ini memungkinkan penyerang membuat parameter yang berisi template Velocity yang berbahaya.

Perbaikan: Upgrade ke versi Apache Solr alternatif.

 2021
A06

2017
A9
STRUTS_RCE

Kategori ini mencakup tiga kerentanan di Apache Struts. Beberapa temuan jenis ini dapat mengindikasikan lebih dari satu kerentanan.

Versi Apache Struts sebelum 2.3.32 dan 2.5.x sebelum 2.5.10.1 rentan terhadap eksekusi kode jarak jauh. Kerentanan dapat dipicu oleh penyerang yang tidak diautentikasi dan menyediakan header Content-Type yang dibuat.

Perbaikan: Instal versi Apache Struts alternatif.

 2021
A06

2017
A9
Plugin REST di Apache Struts versi 2.1.1 hingga 2.3.x sebelum 2.3.34 dan 2.5.x sebelum 2.5.13 rentan terhadap eksekusi kode jarak jauh saat melakukan deserialisasi payload XML yang dibuat.

Perbaikan: Instal versi Apache Struts alternatif.

 2021
A06, A08

2017
A8, A9
Apache Struts versi 2.3 hingga 2.3.34 dan 2.5 hingga 2.5.16 rentan terhadap eksekusi kode jarak jauh saat alwaysSelectFullNamespace disetel ke true dan konfigurasi tindakan tertentu lainnya tersedia.

Perbaikan: Instal versi 2.3.35 atau 2.5.17.

 2021
A06

2017
A9
TOMCAT_FILE_DISCLOSURE Apache Tomcat versi 9.x sebelum 9.0.31, 8.x sebelum 8.5.51, 7.x sebelum 7.0.100, dan semua 6.x rentan terhadap pengungkapan kode sumber dan konfigurasi melalui konektor Protokol Apache JServ yang terekspos. Dalam beberapa kasus, hal ini dimanfaatkan untuk menjalankan eksekusi kode jarak jauh jika upload file diizinkan.

Perbaikan: Upgrade ke versi Apache Tomcat alternatif.

 2021
A06

2017
A3, A9
VBULLETIN_RCE Server vBulletin yang menjalankan versi 5.0.0 hingga 5.5.4 rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dieksploitasi oleh penyerang yang tidak diautentikasi menggunakan parameter kueri dalam permintaan routestring.

Perbaikan: Upgrade ke versi Server vCenter VMware alternatif.

 2021
A03, A06

2017
A1, A9
VCENTER_RCE VMware vCenter Server versi 7.x sebelum 7.0 U1c, 6.7 sebelum 6.7 U3l dan 6.5 sebelum 6.5 U3n rentan terhadap eksekusi kode jarak jauh. Kerentanan ini dapat dipicu oleh penyerang yang mengupload file Java Server Pages yang telah dibuat ke direktori yang dapat diakses web, lalu memicu eksekusi file tersebut.

Perbaikan: Upgrade ke versi Server vCenter VMware alternatif.

 2021
A06

2017
A9
WEBLOGIC_RCE

Beberapa versi produk Oracle WebLogic Server dari Oracle Fusion Middleware (komponen: Console) memiliki kerentanan eksekusi kode jarak jauh, termasuk versi 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, dan 14.1.1.0.0. Kerentanan ini terkait dengan CVE-2020-14750, CVE-2020-14882, CVE-2020-14883. Untuk mengetahui informasi selengkapnya, lihat CVE-2020-14883.

Perbaikan: Untuk informasi patch, lihat Saran Update Patch Penting Oracle - Oktober 2020.

2021
A06, A07

2017
A2, A9

Contoh temuan

Temuan Deteksi Kerentanan Cepat dapat diekspor dalam JSON dengan dasbor Security Command Center, Google Cloud CLI, atau Security Command Center API. Output JSON untuk temuan mirip seperti berikut:

  {
    "finding": {
      "canonicalName": "projects/PROJECT_NUMBER/sources/SOURCE_ID/findings/FINDING_ID",
      "category": "WEAK_CREDENTIALS",
      "compliances": [
        {
          "ids": [
            "A2"
          ],
          "standard": "owasp",
          "version": "2017"
        },
        {
          "ids": [
            "A07"
          ],
          "standard": "owasp",
          "version": "2021"
        }
      ],
      "contacts": {
        "security": {
          "contacts": [
            {
              "email": "EMAIL_ADDRESS_1"
            },
            {
              "email": "EMAIL_ADDRESS_2"
            }
          ]
        },
        "technical": {
          "contacts": [
            {
              "email": "EMAIL_ADDRESS_3"
            }
          ]
        }
      },
      "createTime": "2021-08-19T06:26:20.038Z",
      "description": "Well known or weak credentials have been detected.",
      "eventTime": "2022-06-24T19:21:22.783Z",
      "findingClass": "MISCONFIGURATION",
      "mute": "UNDEFINED",
      "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID",
      "parent": "organizations/ORGANIZATION_ID/sources/SOURCE_ID",
      "resourceName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "securityMarks": {
        "name": "organizations/ORGANIZATION_ID/sources/SOURCE_ID/findings/FINDING_ID/securityMarks"
      },
      "severity": "CRITICAL",
      "sourceProperties": {
        "description": "Well known or weak credentials have been detected.",
        "targets": [
          {
            "ipv4Address": {
              "address": "IP_ADDRESS",
              "subnetMask": 32
            },
            "port": PORT_NUMBER,
            "resourceName": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE_NAME/instances/VM_NAME",
            "transportProtocol": "TCP"
          }
        ]
      },
      "state": "ACTIVE"
    },
    "resource": {
      "displayName": "PROJECT_NAME",
      "name": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "parentDisplayName": "ORGANIZATION_NAME",
      "parentName": "//cloudresourcemanager.googleapis.com/organizations/ORGANIZATION_ID",
      "projectDisplayName": "PROJECT_NAME",
      "projectName": "//cloudresourcemanager.googleapis.com/projects/PROJECT_NUMBER",
      "type": "google.cloud.resourcemanager.Project"
    }
  }

Contoh sebelumnya menggunakan variabel placeholder berikut:

  • EMAIL_ADDRESS_[N]: alamat email individu atau entitas yang akan diberi tahu saat temuan terdeteksi.
  • FINDING_ID: nilai unik yang mengidentifikasi temuan.
  • IP_ADDRESS: alamat IP tempat kerentanan terdeteksi.
  • ORGANIZATION_ID: ID organisasi tempat kerentanan ditemukan.
  • ORGANIZATION_NAME: nama organisasi tempat kerentanan ditemukan.
  • PORT_NUMBER: nomor port tempat kerentanan terdeteksi.
  • PROJECT_ID: ID alfanumerik project tempat kerentanan ditemukan.
  • PROJECT_NUMBER: ID numerik project tempat kerentanan ditemukan.
  • SOURCE_ID: ID numerik yang unik dalam organisasi Anda, yang mengidentifikasi layanan Security Command Center yang mendeteksi kerentanan.
  • VM_NAME: virtual machine (VM) Compute Engine tempat kerentanan terdeteksi.
  • ZONE_NAME: zona Compute Engine tempat target pemindaian berada.

Praktik terbaik

Deteksi Kerentanan Cepat mencoba login ke VM dan mengakses antarmuka pengguna administrator yang terekspos, sehingga berpotensi mengakses data sensitif atau memengaruhi resource Anda dengan hasil yang tidak diinginkan. Gunakan Deteksi Kerentanan Cepat untuk memindai resource pengujian dan, jika memungkinkan, hindari penggunaan layanan di lingkungan produksi.

Rekomendasi berikut dapat digunakan untuk mengamankan resource Anda:

  1. Jalankan pemindaian di lingkungan pengujian. Buat project Compute Engine terpisah, lalu muat aplikasi dan data Anda di sana. Jika menggunakan Google Cloud CLI, Anda dapat menentukan project target sebagai opsi command line saat mengupload aplikasi.
  2. Gunakan akun pengujian. Buat akun pengguna yang tidak memiliki akses ke data sensitif atau operasi berbahaya, dan gunakan akun tersebut saat memindai VM Anda.
  3. Cadangkan data Anda. Pertimbangkan untuk membuat cadangan data sebelum memindai.
  4. Memindai resource non-produksi. Jalankan pemindaian resource non-produksi untuk mendeteksi kerentanan sebelum men-deploy-nya dalam produksi.

Sebelum memindai, lakukan audit dengan cermat pada aplikasi Anda untuk menemukan fitur yang dapat memengaruhi data atau sistem di luar cakupan pemindaian yang diinginkan.

Langkah selanjutnya