F-Secure Radarを使ってサクッとWordPress環境をスキャンしてみた

こんにちは、坂巻です。

F-Secure Radarを使ってWordPress環境をサクッとスキャンしてみたいと思います。

本エントリではDiscovery scanと、Vulnerability scanを実施します。Discovery scanで開放されているポートを確認し、Vulnerability scanでシステムの脆弱性を確認します。各スキャンの詳細については、以下ドキュメントをご確認ください。

• 主なコンセプトとコンポーネント

目次

• スキャン環境準備
• F-Secure Radarスキャン実施
  • Discovery scan
  • Vulnerability scan

スキャン環境準備

スキャン対象の環境は、Lightsailで構築したWordPress環境を使用します。設計図の選択で、WordPressを選択して作成しました。

作成後に環境を確認すると、SSH、HTTP、HTTPSのポートが公開されていました。

F-Secure Radarスキャン実施

Discovery scan

F-Secureのコンソールにて「Discovery scans」をクリックします。

Discovery scans横のメニュー（・・・）、「Add discovery scan」の順にクリックします。

Scan targetsに以下を設定し「Next」をクリックします。

• Select scan mode for the scans…スキャンモードの選択
• IP ranges…スキャン対象のIP範囲を指定
• Name…任意のスキャン名を指定
• Scan node…スキャンを実行するためのサーバを指定
  • ここではF-Secureのサーバを利用

DiscoveryScan templateでは「(Default) DiscoveryScan settings」を選択し「Next」をクリックします。

templateは、スキャンモードやポートの範囲等が設定された定義となります。F-Secure Radarのコンソールにて、設定の確認や定義の更新、追加が可能です。

• ディスカバリー スキャンのテンプレートを設定する

続いては、スキャンのその他設定となります。スキャンイベント（スキャン開始等）を把握したいので「Notifications」を有効化し、メール通知を有効にしました。スキャンイベントは「Scan starts or end」として、スキャン開始／終了をメールにて通知されるように設定しました。

Discovery scanを行う「TestDiscoveryScan」が作成できました。

スキャンを実行しますので、該当のスキャンを選択し「Start scanning」をクリックします。

スキャンが開始されると、設定時に指定したアドレスにメール通知がありました。

こちらの環境では10分程でスキャンが完了し、指定のアドレスにメール通知がありました。

コンソールを確認すると、Statusが「Completed」になっていますので、Scan target（TestDiscoveryScan）を選択して、スキャン結果を確認してみます。

Lightsailで公開されていたポートが検出されました。

Vulnerability scan

続いて、脆弱性スキャンを実施してみたいと思います。先程、検収されたTargetを選択し「Add to vulnerability scan group」をクリックします。

「Create new group」をクリックします。

以下を設定し「Next」をクリックします。

• Group name…任意のグループ名
• Responsible…グループを担当するF-Secure Radarのユーザ名

スキャンテンプレート等を選択して「Next」をクリックします。（ここではデフォルト設定を利用）こちらの詳細については以下をご確認ください。

• システム スキャン

スキャンテンプレート等を選択して「Next」をクリックします。（ここではデフォルト設定を利用）こちらの詳細については以下をご確認ください。

• Web スキャン

デフォルトのまま「Next」をクリックします。

Discovery scan同様、スキャンの開始／終了でメール通知の設定を行いました。

設定を確認して「Finish」をクリックします。

Vulnerability scansを確認するとスキャンが作成されています。

スキャンを実行しますので、該当のスキャンを選択し「Start scanning」をクリックします。

スキャンが開始されると、設定時に指定したアドレスにメール通知がありました。

こちらの環境では1時間程でスキャンが完了し、指定のアドレスにメール通知がありました。

コンソールを確認すると、Statusが「Completed」になっていますので、Target（ec2-54...）を選択して、スキャン結果を確認してみます。

検出された脆弱性が表示されました。ID1000905をピックアップして、詳細を確認してみたいと思います。

概要や説明、対応等が表示されます。こちらの脆弱性は、暗号化されていない認証経路があるようです。該当箇所（Findingsに表示されたURL）の、暗号化対応でこちらの脆弱性は改善できそうです。

脆弱性に対するチケットを作成することが可能ですので、F-Secure Radar上でチケット管理が行えます。該当の脆弱性を選択し「Create new ticket」で作成可能です。

担当者のアサイン等、チケット内容を入力します。

発行されたチケットは「Tickets」メニューより確認可能です。

こちらのエントリでは改善までは実施しませんが、チケット上で脆弱性に対する進捗等の管理として利用できるかと思います。

さいごに

数クリックでスキャンが作成でき、直感的に操作ができると思いました。日本語マニュアルもありますので、脆弱性スキャンおよび管理プラットフォームとして取っ掛かりやすいのではないでしょうか。

参考

• F-Secure Radar
• Radar - ユーザ ガイド