IPAテクニカルウォッチ「脆弱性対策の効果的な進め方(ツール活用編)」
https://www.ipa.go.jp/security/technicalwatch/20190221.html
2019年2月21日にIPAが脆弱性対策についての効果的なツール活用としてVulsが紹介されていた。
ちょうど自前でもVulsを導入したので、手順やつまづいた点を備忘録にブログにまとめておく。
vuls reportコマンドの正しいオプション指定
公式サイトの例ではrepotコマンドのオプション指定が下記のようになっているが、公式の例のようにcve情報をsqlite3で構築していると正しく動作しなかった。
-cvedb-path="...." -ovaldb-path="...." -gostdb-path="...." -exploitdb-path="...."
正しいオプション指定は以下になる
-cvedb-sqlite3-path="...." -ovaldb-sqlite3-path="...." -gostdb-sqlite3-path="...." -exploitdb-sqlite3-path="...."
config.tomlファイルへ記載してオプションを省略する
DB参照のオプションはconfig.tomlへ登録することができる。confに設定すれば何度も同じオプションを指定する必要がなくなる。
公式を参考にvulsユーザーの環境に構築していればconfig.tomlの記述は下記のようになる。
https://vuls.io/docs/ja/usage-report.html
[cveDict] type="sqlite3" SQLite3Path="/home/vuls/cve.sqlite3" [ovalDict] type="sqlite3" SQLite3Path="/home/vuls/go/src/github.com/kotakanbe/goval-dictionary/oval.sqlite3" [gost] type = "sqlite3" SQLite3Path="/home/vuls/go/src/github.com/knqyf263/gost/gost.sqlite3" [exploit] type = "sqlite3" SQLite3Path ="/home/vuls/go/src/github.com/mozqnet/go-exploitdb/go-exploitdb.sqlite3"
Vulsのレポートをhttps(443ポート)で閲覧
レポートが生成されるとWebブラウザで結果を表示することができるのだが、デフォルトだとvuls repotサーバに接続するためには5111ポートを開放しなければならない。(例:http://example.com:5111/)脆弱対策のレポート閲覧にポートの追加開放が必要というのはスマートではないし本末転倒。
Webサーバ構築に慣れている人はすぐに気づくと思いますが、nginxやapacheをプロキシとして設定すれば外部からのレポート参照はhttpから閲覧できる。私の場合はnginxでproxy設定したのだが一般的なconfの記述でSSL設定(https)とBasic認証の設定が可能だった。
(vulsのマニュアルでは5111ポートにvuls用のSSLとvuls用の認証設定が記載されている)
リモートスキャン設定
方法1.http経由のスキャンでは5515ポートを開放してスキャンサーバを実行させて、かつクライアントからhttpを実行、ログはクライアント側に出力される。
方法2.ssh経由のスキャンではスキャン対象のssh鍵が必要。fast scan以外の実行にはsudo権限が必要になる。(実質的にいくつかOSファイルをインストールが必要になる場合がある)
どちらも試したのだが、1の方法は5515のポート開放が必須でログがリモート側に保存されて管理が煩雑になるため5515ポートを閉じて利用しない事にした。現在は2の方法でssh経由のスキャンを運用している。
基本的にバッチ処理の組み合わせなのでcronで定期実行を設定しておけばレポート画面を自動更新することができる。慣れてくるとレポート画面の確認をサボってしまうので、出力結果をメールやslack, mattermost等に飛ばしておくと忘れることがなくなる。
※システム連携のサンプル
出典:
https://github.com/future-architect/vuls/
vulsのgithubから引用
感想
ディストリビューションが提供する最新パッケージを適用していても修正されていない脆弱性が大量にあるため、セキュリティリスクを把握して対策できるものは対策する、対策する必要がない場合はそのリスクを把握する判断が必要とされる。
◇Vuls導入の利点・長所、個人的に良いと思うところ:
・Vulsのリモートスキャンはエージェントレスなので、対象のサーバに追加アプリケーションのインストールが不要(※yumのパッケージ管理の場合は1つだけパッケージインストールが必要)
・一般的なCVEの脆弱性情報を利用するため、標準的なLinux/Windowsシステムであればプラットフォームに依存しない、AWSやVPS環境でも利用可能
・全てのCVE情報を対象とするため診断精度が高い。システムの脆弱性診断としてはAWSのInspectorよりも詳細なレポートが得られる
・スキャン設定が選択可能でFastでは高速に検査できる。Deep設定では追加の権限設定が必要だが詳細情報を取得可能。
・基本的にバッチ処理とレポート生成だけなので、サーバーリソースが少なくても快適に動作する
・OSS版だけでもセキュリティリスクの現状把握として十分に有用だが、OSS版に対応できるエンジニアがいなくて予算に余裕があるならクラウド版を導入するとよさそう。(1台あたり4000円かかる)
◇Vulsではたりなさそうな短所、個人的にイマイチだと思えるところ:
・SSHでスキャンする場合、スキャン元から接続できるSSHポートが必要、かつSSH鍵のパスフレーズを削除する必要があり、鍵が漏洩したときに第三者の攻撃の懸念になる。(iptablesやsshd_configで接続元を制限することで対策可能)
・CVSS情報にない脆弱性(例えばAWSの固有設定についての脆弱性、AWSだとTrustedadvisor相当の情報)は検査できない。version 007からWordPress特有のセキュリティリスクは内部的にWPScanと同等の検査が行われるようになったらしい。
※version 007にアップデートして検査したがWordPres関連と見られる検査結果は見当たらなかった。。。
・Vuls商用版がメインで提供されているため、OSS版の構築や運用手順、検出したCVSSの情報が少ない。Windowsの脆弱性スキャンは有料版のみ対応。
・有料版の案内が不明瞭。vulsをGoogle検索しても有料版のURLが10位内に表示されない。クラウド版は1台のスキャン設定あたり4,000円(税抜き)とあるがVMやクラウドでも台数があるとそれなりの金額になる。固定のGIPが必要なのかSSH接続ができないオンプレは対応しているのか等がわからない。新規契約者には初期導入や運用について「コンサルティングサービス」オプションの別費用で提供するらしいが相応に費用がかかりそう。
