1.ポートスキャン
別途記載します。
2.脆弱性の指標
❶CVE、CWE、CVSSの説明
IPAのサイトに、脆弱性の指標であるCVE、CWE、CVSSに関して説明があります。
・共通脆弱性識別子CVE概説
https://www.ipa.go.jp/security/vuln/scap/cve.html
・共通脆弱性タイプ一覧CWE概説
https://www.ipa.go.jp/security/vuln/scap/cwe.html
・共通脆弱性評価システムCVSS v3概説
https://www.ipa.go.jp/security/vuln/scap/cvssv3.html
❷CVSS
上記のサイトを元に、CVSSを評価する3つの基準の中身を見ましょう
項番 | 基準 | 基準の内容 | 備考 |
---|---|---|---|
(1) | 基本評価基準(Base Metrics) | 脆弱性そのものの特性を評価する基準です。 | 時間の経過や利用環境の異なりによって変化しません。 |
(2) | 現状評価基準(Temporal Metrics) | 脆弱性の現在の深刻度を評価する基準です。 | 脆弱性への対応状況に応じ、時間が経過すると変化します。 |
(3) | 環境評価基準(Environmental Metrics) | ユーザの利用環境も含め、最終的な脆弱性の深刻度を評価する基準です。 | ユーザ毎に変化します。 |
❸実際のCVSS値を見てみよう
以下に、2023年6月14日に出されたIPAからの注意喚起があります。
https://www.ipa.go.jp/security/security-alert/2023/alert20230613.html
このCVE-2023-27997を、JVNの脆弱性対策情報データベース(https://jvndb.jvn.jp/index.html)で調べてみましょう。
基本評価基準を見ると、9.8(Critical)です。攻撃元区分が「ネットワーク」なので、インターネットから攻撃される可能性があり、非常に危険と言えます。
3.Nessusによる脆弱性診断
スキャンあたりのIPアドレスが最大16ではあるが、無料で診断に利用できる。
https://jp.tenable.com/products/nessus/nessus-essentials
(1)インストール
・上記にて、名前やメールアドレスを入力
・Nessusをインストールするが、Windows10のPC、WindowsSerer(x86_64)、MACやLinuxなどのOSを選ぶことができる。
・ダウンロードしたファイルを実行。基本的には「次へ」で進む。
・ブラウザの画面が開くので、SSLで接続。おそらく以下のURL
https://localhost:8834/#/
・「Registar for Nessus Essential」を選択してContinue。次の画面はSkipしてActivation Codeを入れる
・username とパスワードを作成してsubmit
・ここから少し時間がかかる(1時間~2時間は覚悟した方がいいかも)
右上の円形の矢印がグルグル回っているとすると、そこにカーソルを合わせると、進捗がわかる
(2)テストスキャン
インストールが無事に終わると、最初のテストスキャンするサーバを入力する画面がでる。
ここでIPアドレスを入れる。このIPも16IP制限にカウントされる。
基本的にはプラットフォーム診断を実施してくれる。
→画面は非常に見やすい。
(3)Credential Scan
外部から診断をするのは、Webサーバのバナーであったり、レスポンスを見て、OSやミドルウェアの情報を取得する。それだと限界があったり、正確な情報がわかるとは限らない。それよりは、サーバにログインし、コマンドを打つことで、OSの正確なソフトウェアの状況がわかる。場合によっては、パッチの適用状況もわかる。
そのためには、Credential Scanとして、SSHでログインをさせる。そのために、NessusにログインID/Passwordを渡す。
(4)Webアプリ診断
Webアプリケーションの診断もできるが、見た感じだと、表面的なXSSの診断などしかしていない感じであった。
Nessusはあくまでもプラットフォーム診断であり、きちんとしたWebアプリケーション診断をするのであれば、有料の別のツールを使うか、無料であればOWASP ZAPなどを使うのがいいだろう。
以下、WebのフォームのログインURLや、ログイン情報を設定できる。設定は少し難しい。