share facebook facebook twitter menu hatena pocket slack

2016.01.04 MON

Amazon Inspector(プレビュー) が 脆弱性(CVE)を検知するか確認する

吉田 浩和

WRITTEN BY 吉田 浩和

こんにちは、ひろかずです。

忙しい人のためのAmazon Inspector User Guide まとめを作る中で、ハンズオン形式で脆弱性を作りこんで検知させる章があったので、Ubuntu環境で作りこんだ脆弱性(CVE)を検知するか確認します。

工程

  1. Ubuntuインスタンスを起動する
  2. 脆弱性の確認
  3. Amazon Inspectorで検査
  4. 結果の確認
  5. 結果の管理

1.Ubuntuインスタンスを起動する

今回は、Amazon Inspectorに対応するUbuntu14.04LTSで、shellshockが公表される2014/9/24以前のインスタンスを用意しました。

  • ubuntu/images/hvm-ssd/ubuntu-trusty-14.04-amd64-server-20140607.1 – ami-e7b8c0d7

インスタンスに検査用のタグを作成しておきます。

9037fcd2-4134-b295-5683-55bdbc796f58

2.脆弱性の確認

shellshockの脆弱性に該当するか、確認コマンドで確認します。

ubuntu@ip-172-31-33-45:~$ env x='() { :;}; echo this bash is vulnerable' bash -c :
this bash is vulnerable

該当してますね。
期待値は、以下CVEの一部、または全部が検知されることとします。

  • CVE-2014-6271
  • CVE-2014-7169
  • CVE-2014-6277
  • CVE-2014-6278

3.Amazon Inspectorで検査

Applicationsは前回作成したものを使用します。

bbae884c-143c-2532-7ef9-7f1d48328c2d

以下のようにAssesmentsを作成しました。
今回はCVEを検知して欲しいので、Rule packagesは Common Vulnerabilities and Exposures を選択します。

c05e8be7-8879-4b4d-c810-89a9ff54d92a

Create & run をクリックして、待つこと1時間…

4.結果の確認

90ものCVEが検出されました。
(※注意:AWSマネジメントコンソールの言語設定を 英語 にすること)

5badbf3b-c49f-83f3-ebf3-01d525b175a4

期待値のCVEも含まれていますね。

20a0587a-f229-bbd5-bc10-f691934b3456
41660719-f839-f5eb-b2aa-6a9a0d16312e
02928012-71a3-a3e5-133e-027aab434971
857fea62-ab88-1317-afc1-349bf0c6c19f

脆弱性の内容はこのように表示されました。
Discriptionにbashの脆弱性であることが示され、対応方法はCVEのページを参照するように案内されています。

25e07bc5-9420-06f7-0fcd-8c11bce6c770

実運用上では、インスタンスID毎や bash 等のキーワードでフィルタしてまとめたりすることになりそうです。
bash でフィルタすると以下のように表示されました。

1f56d86c-8e4e-5a44-1d58-af6b7e9f78b8

5.結果の管理

各Findingsは、Attributesタグを入れて管理できます。
実運用上では、担当とステータスを管理することになると思います。
ひろかずにアサインして、処理中のステータスにします。

907e8077-9507-031e-abf7-40cc4658aef8

status inProcess でフィルタすると検索できます。

43eb291a-ddce-6845-b0df-8d2849d74256

各Finding詳細画面にはAttributesタグが表示されないですね。
個人的にはAttributesタグも表示されて欲しかったので、少し残念です。

886c1eba-f1ac-0545-74f7-a8c84d06a022

期待通りの結果を得ることができました。
お疲れ様でした。

元記事はこちら

Amazon Inspector(プレビュー) が 脆弱性(CVE)を検知するか確認する

吉田 浩和

吉田 浩和

cloudpackの中の人。 securitypackと運用、保守を中心に、構築もやってます。 エンタープライズ系SIerを経て、クラウドの最前線で奮闘の日々を送ってます。