大規模バージョンアップ!新しくなったFutureVulsを触ってみた

137件のシェア(ちょっぴり話題の記事)

はじめに

2018/08/27にFutureVulsが大規模バージョンアップしました。無料で触れるデモサービスが提供されているので触ってみました。

デモ環境にはAmazon Linux、RedHat、CentOS、Ubuntuが用意されています。今回はWindows Serverの場合どのように表示されるかは触れません。

  • 画面が刷新
  • パッチ未提供な脆弱性も検知可能
  • 2要素認証

お知らせを確認すると上記が主な更新内容のようです。

触ってみた

デモサービスの申し込み

FutureVuls公式サイトのから申し込みが可能です。申し込むとメールで接続情報が届きます。

デモサービスは利用者全員が共有する環境です。他人に見られて困る情報などは絶対に記入しないようにしてください。

ログイン

メールで受け取った接続情報を使ってアクセスします。

グループの選択を求められます。最初はvuls-demoしか表示されていませんがクリックするとdefaultが現れます。defaultをクリックして進みます。

初回ログイン時はこのようなチュートリアルが表示されます。このブログではそれぞれの機能について説明するのでヘルプのスクリーンショットは貼りませんが、実際にログインされている方は、まずはスキップせずにチュートリアルを確認してみてください。

画面構成

画面は2階層のメニュー、ボタン、テーブルで構成されています。この用語は公式ではなく私が勝手に言っているだけです、ご注意ください。

大メニューは脆弱性、サーバ、タスク、ロールと何を見るかを選択するのに使い、中メニューは脆弱性メニューの場合で重要、新着、未対策、すべてとプリセットされた条件でテーブルをフィルタしてくれます。

テーブルは昇順降順ソートとフィルタが可能で、列幅と列順も自由に変更可能です。またCSV形式でダウンロードすることもできます。

行をクリックして選択すると右ペインに詳細な情報が表示されます。この右ペインにも中メニューがありますが、こちらはフィルタするのではなく何を見るかを選択するのに使用します。

この状態で右上のデザイン変更のボタンをクリックすると、右ペインではなく下ペインにデザインを切り替えることが可能です。

脆弱性メニュー

脆弱性メニューでは管理下のサーバで発生している脆弱性を一覧で見ることができます。

中メニュー

テーブルに表示する脆弱性を以下の条件でフィルタできます。

  • 重要
  • 新着
  • 未対策
  • すべて

ボタン

  • 関連するタスクを非表示
  • 関連するタスクを更新
    • 対象脆弱性のタスクをまとめて更新します
    • 脆弱性が3台のサーバで発生しているならば3つのタスクが更新対象です
  • 「重要」フィルタを編集
    • 中メニューの重要を選択した時にフィルタされる条件を設定します

テーブル列

  • 深刻度
  • サマリ
    • 脆弱性の内容
  • CVSS v3
  • CVSS v2
  • 未対策サーバ数
    • N/Mのように表される
    • N: 未対策サーバ数
    • M: 脆弱性のある/あった全サーバ数
  • NWから攻撃可能
    • (詳細未確認)リモートから攻撃を受ける脆弱性
  • OwaspTop10
    • 脆弱性がOwaspTop10に該当するか
  • CVE ID
  • 更新日時
  • トピックカウント
    • 脆弱性に対してFutureVuls上で付けたコメントの数
  • トピック最終更新日時
    • 最後にトピックが更新された日時

詳細情報(詳細)

サマリ

JVN、NVD、REDHATによる脆弱性のスコアとサマリを見ることができます。リンクが用意されている為、原文もすぐに確認することができます。

また、Google翻訳のリンクも用意されています。

CVSS

CVSSを評価基準とした評価値を確認できます。

Open Recalcをクリックすることでメニューが表示され、現状評価基準と環境評価基準を自分で入力しスコアを再計算することができます。

CWE

CWEによる脆弱性タイプを確認することができます、リンクが用意されている為、原文もすぐに確認することができます。サマリのリンク先(JVNなど)にCWEへのリンクが記載されている場合表示されるようです。その為リンクが重複する場合があります。

Open Recalcをクリックすると開くメニュー

ディストリビューションサポートページ

ディストリビューションが公開しているサポートページへのリンクです。

Reference

脆弱性について参考となるリンクが列挙されています。

詳細情報(トピック)

脆弱性に対してコメントを残すことができます。

 

既存のコメントに対して返信ができスレッド形式で管理ができます。

詳細情報(タスク✕サーバ)

対象の脆弱性に関連する発行されたタスクが表示されます。内容はタスクメニューと同じなので後述します。

ソフトウェア

対象の脆弱性が発生しているソフトウェアのパッケージ名が表示されます。アップデートを行うと具体的にどのパッケージが更新されるか、現在のパッケージのバージョンなどを確認できます。

ボタンは脆弱性に関連するという意味です。図で説明すると1行目チェックボックスのみをオンにした状態でタスクを更新するとタスク✕サーバのテーブルに表示されているタスク全てが更新されます。

テーブル列
  • パッケージ名
  • サーバ
    • サーバ名
  • バージョン
  • 未対策タスク数
    • 対象のパッケージの対応を進めていないタスク数
    • 対象の脆弱性以外も含む
  • 全タスク数
    • 未対策タスク数に対策済みを足したもの
  • リリース
    • リリース番号
  • パッチ提供済み
    • ○: パッチが提供されている
    • ☓: パッチが提供されていない

サーバメニュー

サーバメニューでは管理下のサーバを一覧で見ることができます。

ボタン

  • サーバを編集
    • 対象のサーバの情報を編集します
    • 一括で編集できるのでAmazon LinuxはAさんがデフォルト担当者といった感じの設定を簡単に行えます

テーブル列

  • サーバ
    • サーバ名
  • ロール
  • カーネル再起動
    • ○: アップデート済みだが適用のためにカーネル再起動が必要
    • ☓: カーネル再起動の必要がない
  • コンテナ
    • ○: コンテナ
    • ☓: サーバ
  • OS
  • バージョン
  • 未対策タスク数
    • タスクが発行されてからタスクステータスが変化していないタスク数(脆弱性数)
  • 全タスク数
    • 未対策タスク数に対策中・対策済みを加えた数
  • タグ
  • 最終スキャン日時
  • デフォルト担当者
    • 対象のサーバに対してタスクが発行された時にデフォルトで割り当てられる担当者

詳細情報(詳細)

サーバの詳細の確認・変更できる。サーバの削除もここから行う。

詳細情報(タスク✕脆弱性)

対象サーバのタスク一覧が表示されます。

ボタン
  • タスクを非表示
  • 非表示の解除
  • タスクを編集
  • アップデートコマンド
    • アップデートの為にサーバで実行するコマンドが表示されます
    • 図は全ての行にチェックを入れた状態でボタンを押したのでopensslとopenjdk両方を同時にアップデートする手順が表示されています
テーブル列
  • タスクメニューの所で後述

詳細情報(脆弱性✕タスク)

詳細情報(タスク✕脆弱性)とテーブル列の項目が若干異なりますが、ほぼ同じです。

詳細情報(ソフトウェア)

サーバにインストールされているソフトウェア一覧が見れます。(脆弱性の有無に関係なく)

ボタン

脆弱性のない(タスクのない)ソフトウェアに対してはタスクに関するアクションは行なえません。

  • 関連するタスクを非表示
  • 関連するタスクを更新
  • CPE追加
    • 検索、手動でCPE追加ができます

タスクメニュー

前提としてFutureVulsのタスクについて簡単に説明します。

  • タスクは脆弱性が発見されると自動で必ず発行される
  • ユーザーが任意でタスクを作成することはできない

1タスク = 1サーバ ✕ 1脆弱性 となります。

テーブル列
  • タスク優先度
    • タスクに設定した優先度
      • HIGH
      • MEDIUM
      • LOW
      • NONE(デフォルト)
  • 未対策
    • タスクが発行されてからタスクステータスが変化していない(NEWのまま)なら○それ以外なら☓
    • ○: 未対策の状態
    • ☓: 対策を進めている状態
  • ステータス
    • NEW(デフォルト)
    • INVESTIGATING(調査中)
    • ONGOING(進行中)
    • WORKAROUND(回避策?)
    • PATCH_APPLIED(手動では設定できないパッチ適用後に自動で設定される)
  • 対応予定日
  • 主担当者
  • 副担当者
  • パッチ提供済み
    • ○: パッチが提供されている
    • ☓: パッチが提供されていない
  • CVE ID
  • サーバ
    • サーバ名
  • タグ
  • ロール
  • 更新日時
  • 非表示フラグ

詳細情報

タスクの詳細情報を変更できる。

システムによるコメントが表示される。ユーザーがコメントを残すことも可能です。

ロールメニュー

ロールの管理ができる画面です。FutureVulsにおけるロールはサーバが求められる機密性(CR)、完全性(IR)、可用性(AR)要求度のグループです。

個人情報を含む、社内のみからの利用などサーバの状態毎にロールを作成しましょう。要求度は低、中、高の3段階で設定可能です。

詳細画面の画像以外のサブメニューはロールの単位でフィルタされているだけで、ここまでで説明済みのため省略します。

あとがき

新しくなったFutureVulsを触ってみました!デモ環境には245件もの脆弱性が検出されています。これがパッチ未提供な脆弱性も検知の凄さですね。

脆弱性指標についての説明がほとんど無いのは私の知識が無いためです...すいません...

なるべく気をつけましたが、もし誤りがありましたらコメントからぜひご指摘をお願いします。