脆弱性対応勉強会Vol.2 Vulsハンズオン

Transcript

1. 第2回 脆弱性対応勉強会 2019年03月30日 脆弱性対応研究会

2. 脆弱性対応勉強会とは 脆弱性対応についての知見を共有する趣旨で立ち上げた「脆弱性対応研究会」の 勉強会です。 • サーバ等の運用面で発生する脆弱性に対して「どのように脆弱性を発見し、どの ように対応するのか」の知見が、世の中にはまとまっていない気がします。 • この勉強会では、これらの知見を共有していきたいと考えています。 ※本勉強会では、OSやフレームワークやライブラリなどといった階層の脆弱性を 対象とします。WEBアプリケーション脆弱性については、対象としません。

   ※本勉強会での発言は個人の見解であり、所属組織を代表するものではありませ ん。また、所属組織の情報を基にした見解ではなく、個人の経験やインシデント リサーチの結果によるものです。

3. お前誰よ • アカウント • hogehuga • 井上圭（Future株式会社） • 業務履歴 •

   警備会社 情報システム部 • バックオフィス • 警備システムリプレース • 警備システム運用 • MSP(Managed Service Provider) • WEB系システムの運用 • 人事給与系システムの運用 • 医療系組織 • 健診系システムリプレース等 • セキュリティコンサルタント • SIEM導入、脆弱性対応アドバイザリサービス等 • コミュニティ • 運営 • IoTSecJP • 脆弱性対応研究会 • IDCFクラウドユーザ会 • Vulsユーザ会 • 参加 • 脆弱性診断研究会 • ssmjp • Black回登壇 • Security Rejectcon会場提供 • ハニーポッター技術交流会 • OSSセキュリティ技術の会 • すみだセキュリティ勉強会 • OWASP名古屋 (not関西) • OWASP Connect Tokyo • 仕事 • 既知の脆弱性はこう捌け！攻撃デモとVulsによ る効率的な脆弱性管理 見せられないよ！ （勉強会限定）

4. 本日の進め方 IPAテクニカルウォッチ「脆弱英対策の効果的な進め方（ツール 活用篇）」を使ったハンズオンを行います。 • 方針の簡単な説明を行います。 • 既に存在するサーバに、Vulsを導入します。 • Vulsでスキャンを行い、現存する脆弱性を確認します。 •

   OWASP DependencyCheckと連携を行います。 • 古いApacheStruts2を配置します • OWASP DependencyCheckを導入し、チェックします • チェック結果を、Vulsと連携します。

5. タイムスケジュール(予定は未定) 時刻 所要時間 概要 10:00 10[min] 開始の説明 10:15 05[min] LT1(なければ省略)

   10:20 ハンズオン1 12:00頃 60[min] 昼食 13:00頃 160[min] ハンズオン2 15:40頃 20[min] まとめ、解散 おおよそ先のようなスケジュー ルで本日は進行します。 • ハンズオンでは、IPAの資料 と補足資料を参照しながら Vulsの導入をします。 • 時間に余裕のある方は、 Struts2をOWASP DependencyCheckでスキャ ンして、Vulsと連携します

6. IPAテクニカルウォッチ 「脆弱性対策の効果的な進め方 （ツール活用編）」 勝手に解説

7. IPAのテクニカルウオッチ IPAから「脆弱性対策の効果的な進め方（ツール活用編）」が公開さ れました。 • OpenSouceで公開している「Vuls」の利用についての資料でした。 • 脆弱性の「検知」について、このツールを使って楽をしましょう。 https://www.ipa.go.jp/security/technicalwatch/20190221.html

8. 内容抜粋 おおよそ以下のような構成になっています 1. 昨今の脆弱性を取り巻く状況 • 脆弱性の公開状況や、被害事例の紹介 2. 脆弱性対策の考え方 • 対策フローや自動化の重要性の話

   3. 脆弱性検知ツール「Vuls」の紹介 • Vulsとは 4. Vulsの動作検証 • 手動インストール、スキャン、レポートについての紹介 5. 検証結果 • 上記の検証結果

9. 内容抜粋 おおよそ以下のような構成になっています 1. 昨今の脆弱性を取り巻く状況 2. 脆弱性対策の考え方 3. 脆弱性検知ツール「Vuls」の紹介 4. Vulsの動作検証

   5. 検証結果 いつもの話なので、 簡単に紹介します 今回はここがをやるのが目的です。 作業してみましょう。 省略します

10. 脆弱性対策の考え方(抜粋)

11. 脆弱性対策の考え方(抜粋) IPAの資料にて、脆弱性対策の フローが提示されている。 このフローの中で、Vulsで対応 できるものは以下の通り。 • 対象ソフトウェアの把握 ➢パッケージで導入したもの ➢個別で入れたもの（CPE登録） •

    脆弱性関連情報の収集 脆弱性対策の効果的な進め方（ツール活用編） 「2.1. 脆弱性対策のフロー」抜粋

12. 脆弱性情報の収集 • 脆弱性情報を確認する際は、 少なくとも左記の観点で確認 する必要がある • 新バージョン等があるのか • 影響はどの程度か •

    攻撃を受けやすい状況なのか 脆弱性対策の効果的な進め方（ツール活用編） 「2.1.2. 脆弱性情報の収集」抜粋

13. 脆弱性対策の緊急度の判断 脆弱性の緊急度の判断材料として、 いかがの例が考えられる • CVSS基本値の高低 • 被害を受けた時の影響が大きい可能 性 • ネットワーク越しの攻撃可否

    • 世界中どこからでも攻撃される可能 性 • 実証コード（所謂PoC）有無 • 攻撃コードが安易に作成される可能 性が高い • 攻撃が確認されている場合は、いつ 自組織に攻撃が来てもおかしくない 脆弱性対策の効果的な進め方（ツール活用編） 「2.1.3. 適用の判断」抜粋

14. 少し確認 パッケージを使った方がいいの？ • 基本的には、その方が良い ➢どのソフトウェアを利用している のか ➢更新版が出た際の、導入の容易さ • 利点は、管理の容易さ •

    但し、ソースインストールが必 要な状況もある ➢その際は、記録を残しておく ✓ ソフトウェア名やバージョン ✓ インストール先 ✓ 利用目的 • 例えば、AV:Lはそれほど危険視 しなくていいの？ • 緊急度、で言えば、そう。 • あくまで「緊急度」という観点で は、攻撃の足掛かりとなるAV:Nを 先につぶすのは有効 • AV:Lは、通常、新にゅごに利用さ れるため、AV:Nよりは攻撃者の利 用が後になる「可能性」が高い • 但し、「対応しなくてよい」わ けではない • 「緊急度」と「リスク」は異なる • 所謂、多層防御のようなイメージ
15. None

16. ハンズオン Vulsを既存サーバに導入し、スキャンしてみる

17. ハンズオンの方針 IPAの資料を参考にしながら、各自に割り当てられたサーバに以下を行います • Vulsの導入 • 脆弱性情報DBは全員でfetchするには時間がかかるため、あらかじめダウンロードしておいたもの をscpしてください • Vulsでの脆弱性スキャン（localモード） •

    VulsのTUIでの脆弱性確認 • VulsRepoでの脆弱性確認 • 踏み台となるサーバに設置したVulsRepoを確認ください • 自サーバを利用したい場合は、踏み台サーバでポートフォワードしてください（各自で調べて実 施） • 時間の余った方はOWASP DependencyCheck連携をします • スキャン対象として、古いApache Struts2を導入します • OWASP DependencyCheckを導入します • スキャンをし、HTMLを見ます • スキャン結果をXMLとし、Vulsに連携します

18. ネットワーク構成 踏み台サーバ経由で、各自のサーバ にログインしてください。 • 踏み台サーバ • 210.129.62.194 • root /

    鍵認証 • 対象サーバ • 10.15.1.10-33 • root / 鍵認証(設定済み) 踏み台サーバから各自のサーバに入 り、ハンズオンを開始してください。 踏み台のまま作業しないで下さい。 見せられないよ！ （勉強会限定）

19. ハンズオン注意 以下の二つの資料を配布します。 • IPAの資料 • 本ハンズオンでの注意点 まずは「本ハンズオンでの注意点」を確認し、IPAの資料のどの タイミングで特別な作業が必要なのか、を確認してください。 • DBの0からのfetchはやめてください。遅い&回線負荷がかかり

    ます。直近2年のfetchとかは実施しても大丈夫です。

20. 何かあればご相談ください。 何もなければ、私物のハニーポットの調整をしています。 ハンズオン開始

21. ハンズオン終了 お疲れさまでした。

22. おわりに • 今日のハンズオンはいかがでしたでしょうか。 • 脆弱性の検出は、自動化が望ましい • 人的負荷が少なく、検出漏れが少ない • 適用判断はある程度システム化できても、最後は人間が判断 •

    今回のUbuntuだと、すべてアップデートすると脆弱性は検出さ れなくなりましたが、CentOSだと…

23. 本日のハンズオンは 終了です。 お疲れさまでした。