Избранная запись

Что такое OpenVAS и для чего он нужен

OpenVAS это сканер уязвимостей и средство управления уязвимостями с открытым исходным кодом. OpenVAS предназначен для активного мониторинга узлов вычислительной сети на предмет наличия проблем связанных с безопасностью, оценки серьезности этих проблем и для контроля их устранения. Активный мониторинг означает, что OpenVAS выполняет какие-то действия с узлом сети: сканирует открытые порты, посылает специальным образом сформированные пакеты для имитации атаки или даже авторизуется на узле, получает доступ к консоли управления, и выполняет на нем команды. Затем OpenVAS анализирует собранные данные и делает выводы о наличии каких-либо проблем с безопасностью. Эти проблемы, в большинстве случаев касаются установленного на узле необновленного ПО, в котором имеются известные и описанные уязвимости, или же небезопасно настроенного ПО.

На этом сайте мы собираем материалы касательно внутреннего устройства, процесса установки и настройки OpenVAS, делимся советами по поводу его эффективного использования и интеграции со сторонними утилитами и системами.

Адрес для связи: openvas.russia@gmail.com

Быстрое сравнение баз знаний Nessus и OpenVAS

Лично я считаю, что качество базы знаний является наиболее важной характеристикой Vulnerability Management (VM) продуктов. Возможно потому, что я сам довольно продолжительное время занимался разработкой security content-а для сканеров уязвимостей и это уже профессиональная деформация. =) Теперь, когда я сканеры в основном эксплуатирую, мне хотелось бы поделиться своими наблюдениями о качестве контента, который в них используется. В настоящее время на глобальном VM-рынке представлены десятки решений, которые имеют очень разные базы знаний и следовательно очень разные способности по обнаружению уязвимостей. Очень странно, что эта тема не обсуждается практически вообще. Такое ощущение, что качество сканирование никого не волнует. Рекомендую посмотреть на эту тем пост «Tenable doesn’t want to be Tenable anymore» и особенно комментарий к нему от HD Moore (основатель Metasploit и ex-CRO Rapid7).

Что VM-вендоры обычно рассказывают про базу знаний своего продукта? В лучшем случае количество реализованных проверок: 40000-80000 и примерный лист поддерживаемых систем. Чаще говорят, что умеют вообще всё. Но если все вендоры говорят, что умеют всё и не хотят соревноваться в качестве детекта с конкурентами, чем тогда остается очаровывать клиентов? Дашбордами, отчетами, SIEMоподобной функциональностью. По мне это всё, конечно, важно и круто, но все же не настолько важно как основная функциональность, за которую сканер уязвимостей и покупают. Чтобы показать, что разница в базах знаний действительно есть, я сделал простенькое сравнение Nessus и OpenVAS.

Я выбрал эти два продукта, главным образом потому, что информация о NASL-плагинах, которые в них используются доступна на Vulners.com . Как я писал ранее, как вы можете легко парсить архивы Vulners скриптами на python, так что результаты сравнения вы можете повторить самостоятельно при необходимости. Про сравнение баз знаний OpenVAS и Nessus я также рассказывал первые минут 10 на вебинаре Pentestit про Vulners, вот запись:

Почему я называю это сравнение быстрым и простеньким? Я не определяю структуру баз знаний для продуктов и не сопоставляю один NASL-плагин другому. Вполне вероятно, что я так и сделаю чуть позже. Вместо этого я смотрю только на CVE-ссылки. Если два сканера могут детектить одни и те же уязвимости у них и ссылки в плагинах будут на те же CVE проставлены, так ведь? На самом деле видим значительную разницу между продуктами и более половины из существующих CVE-шек нельзя обнаружить даже используя оба сканера.

CVE links from NASL plugins

Все CVEs: 80196
Ссылки на CVE в OpenVAS: 29240
Ссылки на CVE в Nessus: 35032
Пересечение OpenVAS и Nessus: 3787;25453;9579

Читать далее

Поиск по плагинам OpenVAS в Vulners.com

Отличные новости. На прошлой неделе в поисковик по уязвимостям Vulners.com были добавлены плагины OpenVAS для определения уязвимостей.

OpenVAS plugins Vulners

Чем ценен OpenVAS?

OpenVAS это наиболее развитый сканер уязвимостей с открытым исходным кодом. Он является  базой для многих VM-продуктов. Основные вендоры, выпускающие продукты на основе OpenVAS это Greenbone и Acunetix. Есть также множество локальных вендоров, например СканерВС от российской компании Эшелон.

У «ванильного» OpenVAS и также много пользователей. Он широко применяется там где нет бюджетов на коммерческое решение, необходимо решать специфические задачи или требуется писать свои плагины для детекта уязвимостей. С OpenVAS интегрированы множество систем информационной безопасности, так этот сканер уязвимостей используется по умолчанию в AlienVault SIEM.

ОpenVAS хорошо подходит для обучения. У него открытый код, он хорошо документирован. Для OpenVAS-а всегда понятно что, где и как работает.

Читать далее

Поддержка OpenVAS 7 прекращена

Уважаемые пользователи OpenVAS!

Сегодня закончился срок поддержки релиза OpenVAS 7.

Это означает, что 7ая версия OpenVAS больше не будет активно поддерживаться командой разработчиков.

Другое следствие — в фиде OpenVAS NVT теперь могут появляться проверки, использующие новые возможности 8го релиза. Если использовать старый OpenVAS с этим фидом, это, вероятно, вызовет внутренние ошибки.
Сервер не упадет, но результаты сканирования будут менее полными или менее точными.

openvas8_9

С наилучшими пожеланиями
Ваша команда разработчиков OpenVAS

Прекращается поддержка OpenVAS 7

Уважаемые пользователи OpenVAS,

OpenVAS 7 достиг окончании срока жизни (end-of-life) и команда OpenVAS планирует прекратить поддержку этой версии в течение 3 месяцев с текущего момента до 10 мая 2016.

Если вы до сих пор используете 7ую версию, пожалуйста, свяжитесь со службой поддержки. Если можете, перейдите пожалуйста самостоятельно на более новую версию. Если с обновлением есть проблемы — обратитесь к нам за помощью.
Если будет много сообщений о том, что обновить OpenVAS в течение 3 месяцев невозможно, мы готовы продлить срок поддержки.

Важно:
После после окончания поддержки 7го релиза, фиды OpenVAS NVT будут не полностью совместимы с этой версией OpenVAS! В фидах OpenVAS NVT могут появиться плагины использующие новую функциональность OpenVAS и это может привести к ошибкам в старых версиях.

С наилучшими пожеланиями,
Ваша команда разработчиков OpenVAS

Уведомление безопасности OpenVAS (OVSA20160202)

Разработчики OpenVAS выпустили важное обновление безопасности для Открытой Системы Анализа Защищенности версии 8 (OpenVAS-8).

Были выпущены следующие пакеты:
— Greenbone Security Assistant 6.0.9.

Мы рекомендуем как можно скорее обновить OpenVAS до версии указанной выше.

Было установлено, что Greenbone Security Assistant (GSA) уязвим для атак на отказ в обслуживании из-за неправильной обработки UTF-8 в GET и POST запросах. Имея доступ к веб-интерфейсу GSA злоумышленник может сформировать HTTP-запрос, который может привести к прекращению работы сервиса gsad.

Для получения подробной информации и текущей информации о данной уязвимости обратитесь к следующей странице на сайте OpenVAS: http://openvas.org/OVSA20160202.html

Уведомление безопасности OpenVAS (OVSA20160112)

Исследователь Себастьян Неф из Internetwache.org обнаружил уязвимость типа межсайтовый скриптинг (XSS) в компоненте Greenbone Security Assistant (GSA). Уязвимы версии ≥ 6.0.0 и < 6.0.8. Уровень риска низкий, CVSS 1.9 (AV:A/AC:M/Au:M/C:P/I:N/A:N). Подробности читайте здесь.
Разработчики OpenVAS отреагировали оперативно и уже на следующий день после получения репорта выпустили обновленную версию GSA. В принципе уязвимость не особо опасная, но если OpenVAS GSA торчит из сети наружу или развернут на внешней площадке, стоит обновиться.

Установка OpenVAS на Ubuntu Linux из PPA репозитория

Сервис Canonical Launchpad.net позволяет любому желающему создать репозиторий пакетов для Ubuntu (Personal Package Arhive — PPA) и использовать его для распространения своих пакетов без лишних технических трудностей. А пользователи, прописавшие у себя такой репозиторий, смогут получать обновления пакетов из него автоматически.

Здесь мы рассмотрим процесс установки OpenVAS из PPA репозитория Мохаммада Разави (Mohammad Razavi). Читать далее

Сканирующий OpenVAS кластер на основе Docker-контейнеров для лучшей масштабируемости

Начиная с 8-ой версии в OpenVAS улучшили поддержку Master-Slave взаимодействия сканеров. Теперь распределять задачи и балансировать нагрузку стало гораздо проще. В связи с этим в американской компании NopSec решили сделать PoC кластера для сканирования на наличие уязвимостей. Цель была в том, чтобы навести порядок в сканирующей инфраструктуре и раскатывать новые версии сканера без задержек. Плюс посмотреть как Docker впишется в продакшн, разработку, тестирование систем и во все существующие процессы. Были подготовлены 2 docker-контейнера с OpenVAS настроенным как master и как slave.

Архитектура

На каждом Docker-контейнере запускаются процессы openvas manager и scanner, а также PostgreSQL и Redis для поддержки openvas manager.

openvas-cluster arch
Читать далее

Релиз OpenVAS 8.0.5

28 сентября вышли обновления библиотек, менеджера и GSA. Множество мелких улучшений, касающихся в первую очередь поддержки IPv6 и протокола (OpenVAS Scanner Protocol)

  • OpenVAS Libraries 8.0.5
  • OpenVAS Manager 6.0.6
  • GSA 6.0.6

А буквально сегодня обновился еще и CLI. Улучшили процесс сборки, добавили опцию --empty-as-unknown.

  • OpenVAS CLI 1.4.3

Обновление OpenVAS 8.0.4

Вышло обновление OpenVAS 8. Версия та же 8.0.4, т.к. библиотеки не правили. Разработчики пофиксили баги в OpenVAS Manager и GSA. Главная бага, с которой столкнулись в том числе и пользователи нашего виртуального демо-апплайнса, заключалась в невозможности выпустить отчет по проведенному сканированию. При этом результаты сканирования можно было просмотреть в веб-интерфейсе GSA. После обновления все заработало. Также разработчики улучшили возможности кастомизации сообщений, сбрасываемых на email по результатам сканирования, и доработали поддержку китайского языка.
Установочный скрипт и демо-апплайнс обновлены.
В качестве демонстрации как оно сейчас работает записал видео со сканированием Debian-сервера.