Vuls のアップデート情報と未来 @ Vuls祭り#6

Transcript

1. Vuls のアップデート情報と未来 MaineK00n @ Vuls祭り#6

2. $whoami MaineK00n • Twitter: @MaineK00n • 所属: フューチャー株式会社 • 趣味:

   飲酒 以下期間では1番コミットしてます 2

3. Vuls v0.8.0 からのアップデート情報

4. metasploit module 情報を追加 (v0.11.0) 検知した CVE に関連する Metasploit Module を表示

   4

5. Port Scanner を追加(v0.13.0) fast-root mode でわかるアクティブなポートに対して到達可能性を評価 5

6. 直近２回のスキャンの差分表示 (v0.15.8) 前回のスキャン結果からの修正済み CVE の差分を +/- 表示 6

7. DB のスキーマを変更 (v0.18.0) データソースの見直しから DB のスキーマを変更したが…… スキーマバージョンがあってないよってエラーが出たんだけど！ってissue を結 構もらった（すいません 7

8. CISA KEV にある脆弱性を警告 (v0.19.0) CISA によって実際に悪用されている危険な脆弱性リストが公開 そのリストにある脆弱性が検知された場合に警告 8

9. SSH 設定のバリデーション (v0.19.4, v0.19.8) なぜ SSH で失敗しているのか？ どうしたらよいか？を表示 known_hosts 登録忘れ，登録済みの

   host key が違うときに有効 9

10. MITRE ATT&CK 情報を表示 (v0.19.8) 検知した CVE に関連する MITRE ATT&CK Technique

    を表示 10

11. CIDR Range によるスキャン (v0.19.8, PR#1501) host を CIDR Range で指定できるように

    エラー分類することで，CIDR Range の各マシンの状況が分かりやすく 11

12. その他 • 新たに SUSE や Fedora, Ubuntu 22.04 などサポート対象を追加 •

    dnf module の検知をサポート • release や Docker Hub で arm64 版を公開 • Trivy の更新によって pom.xml などスキャンできるライブラリが増加 • go-cve-dictionary, go-cpe-dictionary で fetch 時の使用メモリ量を削減 ◦ go-cve-dictionary fetch nvd: 6GB → 750MB ◦ go-cpe-dictionary fetch nvd: 3GB → 380MB • vuls ツール群をコントロールする vulsio/vulsctl が登場 12

13. Vuls の未来

14. Stable Vuls Architecture DB(OVAL, GOST, CVE, CPE, EXPLOIT, Metasploit, KEV,

    CTI) が多い！ 14

15. Nightly Vuls Architecture 脆弱性検知条件と脆弱性情報だけで良いはず…… DB を1つだけにしたい！ 15

16. DB を１つにすることで…… • DB の作成から脆弱性スキャンまでが Vuls バイナリ単体で実行できる • ユーザに脆弱性情報を届けやすい •

    アドバイザリをカスタムしやすい 16

17. Nightly Vulsでの脆弱性検知（予定） 17

18. ユーザに脆弱性情報を届けやすい 例えば…… • DB の Path が間違っていて，脆弱性情報が欠落してしまっている • go-kev で

    DB を用意してなければ，脆弱性検知の結果で CISA によって警告されている危険な脆弱性を見落とすかも • 脆弱性情報を Ubuntu だけでなく他の OS も参考にしたい 事前に脆弱性情報を整形することで Vuls のたった1回の fetch ですべてのデータにアクセスできるように！ 18

19. アドバイザリをカスタムしやすい 以前の DB 設計では Vuls とユーザで空間が分かれていないため， 自作パッケージや早期警戒するためのアドバイザリの提供が難しかった ⇒ アドバイザリをカスタムできるようにデータソースリポジトリに Vuls

    とユーザの空間を作成する 運用想定 1. リポジトリを fork して，ユーザ空間で JSON を書いてもらう 2. `$ vuls db fetch <fork repository URL>` で カスタムアドバイザリを含む DB を作成 19

20. 実装予定 • 脆弱性情報の追加 RHEL EUS や Arch Linux，FreeBSD(offline scan)，EPEL Repository

    など CVSS とは別の数値指標となる Exploit Prediction Scoring System: EPSS • npm や go などでインストールしたバイナリの脆弱性検知 • TUI リファクタリング • コマンドやフラグの補完 • （募集中） 20

21. Nightly Vuls Q&A • Q. いつ使えるようになりますか？ A. 実装がある程度進むまでお待ち下さい……（頑張ります • Q.

    どこで使えるようになりますか？ A. future-architect/vuls の branch: nightly で公開予定です • Q. 機能提案や要望はできますか？ A. GitHub の Issue か Discussions で場を用意します • Q. master branchはどうなりますか？ A. master 固有のバグ修正や nightly から新機能の導入を行う予定です 21

22. 攻撃者視点での脆弱性検知 OSINT で得られる情報を使った脆弱性検知 e.g. 外部アクセスのレスポンスから CPE を特定して脆弱性検知 現在の Vuls の脆弱性検知は防御者視点が多い

    外からどう見えるか？という攻撃者視点での脆弱性検知に 取り組むことで攻撃者の1歩目を防ぐ 22

23. Vuls と連携するソフトウェアの開発 検知した脆弱性をグラフィカルに表示する VulsRepo ぐらい……？ Vuls はサーバのパッケージやライブラリが対象となると……？ • コンプライアンスチェック？ •

    ログ解析？ • Web アプリケーション診断？ • 検知結果をベースにした自動ペネトレーションテスト？ Vuls を使うことに価値がある連携ツールも考えていきます！ 23

24. Vuls コミュニティの皆様へ バグ報告や機能提案/要望，質問などありましたら GitHub Issue や Pull Request, Slack, Twitter(@MaineK00n

    or @vuls_*) へ 気がついて欲しい場合は気軽に @MaineK00n とメンションしてください 皆様の応援のおかげで Vuls は 9440 Stars (2022/08/26 16:30) です！ OSS 脆弱性スキャナ Vuls はこれからも進化します！ 24