Vulsで危険な脆弱性を最速検知！The fastest detection of dangerous vulnerability by Vuls!

Takayuki Ushida

Who am I ?

• Takayuki Ushida

P-01

• VulsRepo https://github.com/usiusi360/vulsrepo

• Qiita http://qiita.com/usiusi360

質問Question

• 脆弱性の対応手段として「プロダクション環境」でyum updateで全部のパッケージを毎日アップデートしている人 ⇒ 挙手！As for a method to deal with vulnerability, does anyone update all of the packages every day using the yum update in the “ production environment ”? ⇒ Raise your hand!

P-03

コードフリーズしカットオーバーしたシステム環境で全部のパッケージをアップデートするのは怖いI am scared to update all of the packages in the system environment which has already cut over but code-freezed.

業務アプリが動かなくなったら・・・

全部再テスト・・・

検証どこまでやれば・・・

じゃあ、外部の脆弱性情報をウォッチして自システムに影響のあるものだけアップデートしますか？

Do you check the vulnerability information about the updates of rpms having the impact on the system ?

• 現実問題としてAs a practical matter

脆弱性情報をウォッチしつづけるのはツライPainful to keep watching the vulnerability information

• CVE等の脆弱性情報は追加だけではない！過去の情報も頻繁に更新されている。The vulnerability information about CVE is not only added, but the past information has also been updated frequently.

• 更新された内容に重大な内容(脆弱性レベル・対象)が含まれていても、話題になりにくい。Even if an important information is included in the updated contents, it does not become a hot topic.

• 全てのアップデート情報について自システムのインストール構成と照らし合わせて影響があるか一つずつ確認するのはタイヘン！チェック漏れがあったら一大事！！For all updates, it’s a tough work to make sure the impact of the installation configuration for the local system. If you leak a check, it will become a big deal.

P-01

サイトに書かれている情報が常に正しいとは限らないThe information on the site is not necessarily correct.

• 脆弱性の影響範囲の情報が変更されてもNVD,JVN等に反映されるまでには、かなりタイムラグがある。（情報がアップデートされるのに数ヶ月掛かる場合もある）It requires a long time to reflect information about the vulnerability on NVD and JVN.Information in some cases take several months to be updated.

• そもそもNVD,JVNに詳細が載らないものも結構ある。（CVE-IDだけ払い出されていて、詳細はベンダーサイトへ）There is much vulnerability whose details have not been published in the NVD and JVN.

P-01

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-5320

脆弱性対応は、時間との戦い！！Deal for the vulnerability, we need to hurry.

• 脆弱性情報が公開されたということは、攻撃者にとっても脆弱性を突くためのヒントが公開されたってこと。The tips on how to attack the vulnerability is published mean that the hints for attackers has been open.

• 脆弱性が公開されたあと、それを標的にしたアタックが急増する。After vulnerability is published, it will increase the number of attacks rapidly.

P-02警察庁セキュリティポータルサイトより抜粋

http://www.npa.go.jp/cyberpolice/detect/pdf/20160427.pdf

～～～

発見・対処が遅れるほど、外部から脆弱性を突かれるリス

クが高くなる

When the discovery and deal of vulnerability is delayed, the posibilyty of risks attacked from the

outside will be higher.

P-01

Vulsは悩めるセキュリティ担当の救世主！！Vuls is a savior of the beleaguered security personnel ! !

Vulsによる自動差分チェックを運用中に実際に遭遇した事例Actual case which is encountered at the automatic differential check operated by Vuls

• 2016/6/24（Fri）

– Vuls is detected the CVE-2016-1762 to the new

– CVSS Score： 10.0（HIGH） MAX !!

– ServerOS：CentOS6

– RPM Packeage：libxml2

P-01

CVE MITRE (The contents of 2016/6/24 time)

P-01

NVD (The contents of 2016/6/24 time)

P-01

JVN (The contents of 2016/6/24 time)

P-01

あれ？スキャンしたのは「CentOS」なんですけど？Why? We scan " CentOS " but?

P-01

P-01

なんでApple製品対象の脆弱性を検知してんの？Why dose it detect the vulnerability of an Apple product?

もしかしてVulsが誤検知？Does it mean Vuls has made a mistake?

P-01

いやいや、Vuls先輩は正しく検知してくれていました！No, Vuls has detected the vulnerability correctly!

RHELのサイトを見ると・・・View the site of RHEL and ...

P-01

スキャンした日の前日に更新パッケージが出てる！！

At the day before of the scanning,I came up with an update package ! !

https://access.redhat.com/security/cve/cve-2016-1762

P-01

確かにCVE-2016-1762に関する更新がされてる！！

Certainly it has been updated on the CVE-2016-1762! !

https://rhn.redhat.com/errata/RHSA-2016-1292.html

P-01

2016/9/5 74 days after

2016/7/27 34 days after

2016/6/23（Vuls Scan 6/24）

RedHat

Important: libxml2 security update

NVD

JVN

各サイトの更新状況Update status of each site

CVE MITRE

2016/１/13 Assigned

P-01

何故、Vulsは検知できたのか？Why is Vuls able to detect it?

Question

P-01

Answer

パッケージのchangelogからCVE-IDを拾い出しているからBecause it picks up CVE-ID from the changelog of the package.

P-01

・インストールされているものより新しいバージョンのあるパッケージについて全部changelogをチェックCheck all the changelog of the packages with the newer version than the installed ones.

NVD、JVNに情報が載るよりも先に検知することも。またNVD、JVNに詳細が載らなくても検知できる。

We can detect the information earlier than it is described in NVD and JVN. We can also detect it even if the details are not written in NVD or JVN.

Vulsは擬似攻撃や自動アップデートは行わない。だから環境に影響を与えることはない。安全にチェックできる。Vuls does not perform a pseudo-attacks and automatic update. So, it does

not affect the environment. It can be checked at safety．

Vulsで素早く検知・対応するための運用方法Operation method for quickly detecting and corresponding by Vuls.

P-01

通知に関する問題Issues related to notification

• 最初はVulsで全件検知させて、対応の要不要を判断。First of all, we detect all vulnerability by Vuls and determine the necessity whether we should cope with the vulnerability.

• それ以降は差分通知がしたい！After that, it notifies the differences of updated vulnerability information.

P-01

毎日スキャンし新しく検知した内容だけをウォッチすることで、新しい情報を見逃さない！埋もれさせない！

If we scan the vulnerability information and pay attention to the newly detected contents, we can not miss the new information !

Vulsはシステムに存在する脆弱性を毎回全件通知

毎回大量に通知が発生すると必要な情報が埋もれてしまうVuls notifies all vulnerability information for a system every time. If a large amount of notifications are generated, the necessary information is buried in them.

P-01

• text形式のレポートをDiffDiff the text format of the report

– Qiita：脆弱性検知ツールVulsで前日分との差分だけレポートする(http://qiita.com/usiusi360/items/90bad397c16c07a9630b)

• json形式のレポートを元に監視システムへ連携Cooperation the json format of reports to the monitoring system

– vuls scan&zabbixにsend [gist]（https://gist.github.com/aomoriringo/2ec69042d8330dbce0ae6097288a6ce4）

– Zabbix上へ脆弱性（CVEID)の数を連携

• Zabbiｘ上でグラフ化Graphed on Zabbix

• Zabbixのトリガー・アクション機能を使って、通知先を一元管理可能Using the trigger action function of Zabbix, the notification destination centralized management possible

Vulsで差分があったときだけ通知Notify only when there is a difference in Vuls

P-01

VulsRepoでVulsの結果をピボットテーブルのように様々な角度から集計できる。The results of the Vuls can be analyzed from a variety of view points as pivot tables in VulsRepo.

VulsRepoで結果を分析Analyze the results of Vuls by VulsRepo

P-01

VulsRepoで結果を分析Analyze the results of Vuls by VulsRepo

VulsRepoでは集計した結果をグラフにすることもできる。The VulsRepo can display a graph aggregated by the results.

P-01

どのCVE-IDを新しく検知したのか？

脆弱性対応を行ったあと、ちゃんと脆弱性が無くなったか？Which CVE-ID does Vuls detect newly?

After you have dealt with the vulnerability, does the vulnerability disappear properly?

スキャン時間とCveIDを軸にして見ることで、何が変化したか簡単に見つけ出すことが可能

If we investigate the vulnerability information centered on the scan time

and CveID, we can easily find out what has changed.

VulsRepoで結果を分析Analyze the results of Vuls by VulsRepo

P-01

VulsRepoで結果を分析Analyze the results of Vuls by VulsRepo

リンクをクリックするだけで外部の情報サイトへ遷移

We can easily transit the outside information site by clicking a link.

P-01

• VulsRepoを気に入った場合はぜひGitHub Starを！

Please to grant GitHub Star if you like the VulsRepo.

VulsRepoのオンラインデモOnline demo of VulsRepo

GitHub

https://github.com/usiusi360/vulsrepo

P-01

まとめSummary

• Vulsとサイトの情報を併用して多角的に情報収集が必要。We cannot swallow the site information. We need to collect the information from the

multiple views by Vuls.

• 検知した内容を埋もれさせない工夫が必要。We need a method that the detected vulnerability information is not buried in the large

amount of data.

• VulsRepoで多角的に分析We can analyze from the multiple view points by VulsRepo.

P-01

Thank you