Help us understand the problem. What is going on with this article?

Amazon Inspector(プレビュー) が 脆弱性(CVE)を検知するか確認する

More than 5 years have passed since last update.

こんにちは、ひろかずです。

忙しい人のためのAmazon Inspector User Guide まとめを作る中で、ハンズオン形式で脆弱性を作りこんで検知させる章があったので、Ubuntu環境で作りこんだ脆弱性(CVE)を検知するか確認します。

工程

1.Ubuntuインスタンスを起動する
2.脆弱性の確認
3.Amazon Inspectorで検査
4.結果の確認
5.結果の管理

1.Ubuntuインスタンスを起動する

今回は、Amazon Inspectorに対応するUbuntu14.04LTSで、shellshockが公表される2014/9/24以前のインスタンスを用意しました。

  • ubuntu/images/hvm-ssd/ubuntu-trusty-14.04-amd64-server-20140607.1 - ami-e7b8c0d7

インスタンスに検査用のタグを作成しておきます。
inspector_tag.png

2.脆弱性の確認

shellshockの脆弱性に該当するか、確認コマンドで確認します。

ubuntu@ip-172-31-33-45:~$ env x='() { :;}; echo this bash is vulnerable' bash -c :
this bash is vulnerable

該当してますね。
期待値は、以下CVEの一部、または全部が検知されることとします。

  • CVE-2014-6271
  • CVE-2014-7169
  • CVE-2014-6277
  • CVE-2014-6278

3.Amazon Inspectorで検査

Applicationsは前回作成したものを使用します。
Applications.png

以下のようにAssesmentsを作成しました。
今回はCVEを検知して欲しいので、Rule packagesは Common Vulnerabilities and Exposures を選択します。
Assessments.png

Create & run をクリックして、待つこと1時間...

4.結果の確認

90ものCVEが検出されました。
(※注意:AWSマネジメントコンソールの言語設定を 英語 にすること)
Findings.png

期待値のCVEも含まれていますね。
6271.png
6277.png
6278.png
7169.png

脆弱性の内容はこのように表示されました。
Discriptionにbashの脆弱性であることが示され、対応方法はCVEのページを参照するように案内されています。
6278_gaiyo.png

実運用上では、インスタンスID毎や bash 等のキーワードでフィルタしてまとめたりすることになりそうです。
bash でフィルタすると以下のように表示されました。
filter_bash.png

5.結果の管理

各Findingsは、Attributesタグを入れて管理できます。
実運用上では、担当とステータスを管理することになると思います。
ひろかずにアサインして、処理中のステータスにします。
attribute.png

status inProcess でフィルタすると検索できます。
inProcess.png

各Finding詳細画面にはAttributesタグが表示されないですね。
個人的にはAttributesタグも表示されて欲しかったので、少し残念です。
attributes_after.png

期待通りの結果を得ることができました。
お疲れ様でした。

fnifni
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away