OpenVAS это сканер уязвимостей и средство управления уязвимостями с открытым исходным кодом. OpenVAS предназначен для активного мониторинга узлов вычислительной сети на предмет наличия проблем связанных с безопасностью, оценки серьезности этих проблем и для контроля их устранения.
Активный мониторинг означает, что OpenVAS выполняет какие-то действия с узлом сети: сканирует открытые порты, посылает специальным образом сформированные пакеты для имитации атаки или даже авторизуется на узле, получает доступ к консоли управления, и выполняет на нем команды. Затем OpenVAS анализирует собранные данные и делает выводы о наличии каких-либо проблем с безопасностью. Эти проблемы, в большинстве случаев касаются установленного на узле необновленного ПО, в котором имеются известные и описанные уязвимости, или же небезопасно настроенного ПО.
На этом сайте мы собираем материалы касательно внутреннего устройства, процесса установки и настройки OpenVAS, делимся советами по поводу его эффективного использования и интеграции со сторонними утилитами и системами.
Если вы хотите разрабатывать свои nasl-плагины для OpenVAS, вам может быть интересно, как импортировать их в сканер. Вот мне тоже стало интересно.
Прежде всего, я решил скопировать один из существующих сценариев nasl. Я выбрал скрипт, который успешно обнаружил уязвимость на целевом узле. Таким образом, в случае ошибки импорта я бы точно знал, что это не из-за синтаксических ошибок в скрипте, а, например, из-за того, что у плагина нет подписи.
Я просканировал хост с CentOS, выбрал и скопировал файл сценария, изменил идентификатор сценария (oid) и название скрипта, восстановил базу данных. Затем я обновил целевой хост.
Как вы можете видеть, новый скрипт присутствует в результатах сканирования. Всё довольно просто.
Судя по последнему письму Яна Оливера в Greenbone порядком устали тащить на себе OpenVAS и смотреть как другие компании используют их движок и фиды, позиционируясь как “alternative to Greenbone’s product at a better price”.
В связи с этим
1. “OpenVAS NVT Feed” переименуют в “Greenbone Community Feed”
2. Публичный доступ к “openvas-nvts” SVN repository прикроют, но лицензию менять не собираются
3. Сейчас Community Feed отстает на 14 дней от коммерческого, но они в принципе хотели бы сделать актуальный фид, но без некоторых фич интересных для энтерпрайзных заказчиков.
Потестил виртуальный апплаенс от Greenbone с OpenVAS-ом:
Выводы:
1. Использовать GCE для сканирования можно. Но я лучше буду продолжать ставить его из исходников или пакетов Ubuntu. Прежде всего потому, что нельзя использовать API. Это наверняка можно поправить руками, но мне кажется это не этично.
2. Олдскульный текстовый интерфейс для настройки это прикольно. Может быть сделаю похожий интерфейс для openvas_commander.
3. Задержки в OpenVAS NVT Feed это очень плохо. Нужно подумать, что с этим делать. Может быть стоит делать альтернативный фид. Если вас это тоже беспокоит, дайте знать в комментариях.
Лично я считаю, что качество базы знаний является наиболее важной характеристикой Vulnerability Management (VM) продуктов. Возможно потому, что я сам довольно продолжительное время занимался разработкой security content-а для сканеров уязвимостей и это уже профессиональная деформация. =) Теперь, когда я сканеры в основном эксплуатирую, мне хотелось бы поделиться своими наблюдениями о качестве контента, который в них используется. В настоящее время на глобальном VM-рынке представлены десятки решений, которые имеют очень разные базы знаний и следовательно очень разные способности по обнаружению уязвимостей. Очень странно, что эта тема не обсуждается практически вообще. Такое ощущение, что качество сканирование никого не волнует. Рекомендую посмотреть на эту тем пост “Tenable doesn’t want to be Tenable anymore” и особенно комментарий к нему от HD Moore (основатель Metasploit и ex-CRO Rapid7).
Что VM-вендоры обычно рассказывают про базу знаний своего продукта? В лучшем случае количество реализованных проверок: 40000-80000 и примерный лист поддерживаемых систем. Чаще говорят, что умеют вообще всё. Но если все вендоры говорят, что умеют всё и не хотят соревноваться в качестве детекта с конкурентами, чем тогда остается очаровывать клиентов? Дашбордами, отчетами, SIEMоподобной функциональностью. По мне это всё, конечно, важно и круто, но все же не настолько важно как основная функциональность, за которую сканер уязвимостей и покупают. Чтобы показать, что разница в базах знаний действительно есть, я сделал простенькое сравнение Nessus и OpenVAS.
Почему я называю это сравнение быстрым и простеньким? Я не определяю структуру баз знаний для продуктов и не сопоставляю один NASL-плагин другому. Вполне вероятно, что я так и сделаю чуть позже. Вместо этого я смотрю только на CVE-ссылки. Если два сканера могут детектить одни и те же уязвимости у них и ссылки в плагинах будут на те же CVE проставлены, так ведь? На самом деле видим значительную разницу между продуктами и более половины из существующих CVE-шек нельзя обнаружить даже используя оба сканера.
Все CVEs: 80196
Ссылки на CVE в OpenVAS: 29240
Ссылки на CVE в Nessus: 35032
Пересечение OpenVAS и Nessus: 3787;25453;9579
Отличные новости. На прошлой неделе в поисковик по уязвимостям Vulners.com были добавлены плагины OpenVAS для определения уязвимостей.
Чем ценен OpenVAS?
OpenVAS это наиболее развитый сканер уязвимостей с открытым исходным кодом. Он является базой для многих VM-продуктов. Основные вендоры, выпускающие продукты на основе OpenVAS это Greenbone и Acunetix. Есть также множество локальных вендоров, например СканерВС от российской компании Эшелон.
У “ванильного” OpenVAS и также много пользователей. Он широко применяется там где нет бюджетов на коммерческое решение, необходимо решать специфические задачи или требуется писать свои плагины для детекта уязвимостей. С OpenVAS интегрированы множество систем информационной безопасности, так этот сканер уязвимостей используется по умолчанию в AlienVault SIEM.
ОpenVAS хорошо подходит для обучения. У него открытый код, он хорошо документирован. Для OpenVAS-а всегда понятно что, где и как работает.
Сегодня закончился срок поддержки релиза OpenVAS 7.
Это означает, что 7ая версия OpenVAS больше не будет активно поддерживаться командой разработчиков.
Другое следствие – в фиде OpenVAS NVT теперь могут появляться проверки, использующие новые возможности 8го релиза. Если использовать старый OpenVAS с этим фидом, это, вероятно, вызовет внутренние ошибки.
Сервер не упадет, но результаты сканирования будут менее полными или менее точными.
С наилучшими пожеланиями
Ваша команда разработчиков OpenVAS
OpenVAS 7 достиг окончании срока жизни (end-of-life) и команда OpenVAS планирует прекратить поддержку этой версии в течение 3 месяцев с текущего момента до 10 мая 2016.
Если вы до сих пор используете 7ую версию, пожалуйста, свяжитесь со службой поддержки. Если можете, перейдите пожалуйста самостоятельно на более новую версию. Если с обновлением есть проблемы – обратитесь к нам за помощью.
Если будет много сообщений о том, что обновить OpenVAS в течение 3 месяцев невозможно, мы готовы продлить срок поддержки.
Важно:
После после окончания поддержки 7го релиза, фиды OpenVAS NVT будут не полностью совместимы с этой версией OpenVAS! В фидах OpenVAS NVT могут появиться плагины использующие новую функциональность OpenVAS и это может привести к ошибкам в старых версиях.
С наилучшими пожеланиями,
Ваша команда разработчиков OpenVAS
Разработчики OpenVAS выпустили важное обновление безопасности для Открытой Системы Анализа Защищенности версии 8 (OpenVAS-8).
Были выпущены следующие пакеты:
– Greenbone Security Assistant 6.0.9.
Мы рекомендуем как можно скорее обновить OpenVAS до версии указанной выше.
Было установлено, что Greenbone Security Assistant (GSA) уязвим для атак на отказ в обслуживании из-за неправильной обработки UTF-8 в GET и POST запросах. Имея доступ к веб-интерфейсу GSA злоумышленник может сформировать HTTP-запрос, который может привести к прекращению работы сервиса gsad.
Для получения подробной информации и текущей информации о данной уязвимости обратитесь к следующей странице на сайте OpenVAS: http://openvas.org/OVSA20160202.html
Исследователь Себастьян Неф из Internetwache.org обнаружил уязвимость типа межсайтовый скриптинг (XSS) в компоненте Greenbone Security Assistant (GSA). Уязвимы версии ≥ 6.0.0 и < 6.0.8. Уровень риска низкий, CVSS 1.9 (AV:A/AC:M/Au:M/C:P/I:N/A:N). Подробности читайте здесь.
Разработчики OpenVAS отреагировали оперативно и уже на следующий день после получения репорта выпустили обновленную версию GSA. В принципе уязвимость не особо опасная, но если OpenVAS GSA торчит из сети наружу или развернут на внешней площадке, стоит обновиться.
Сервис Canonical Launchpad.net позволяет любому желающему создать репозиторий пакетов для Ubuntu (Personal Package Arhive – PPA) и использовать его для распространения своих пакетов без лишних технических трудностей. А пользователи, прописавшие у себя такой репозиторий, смогут получать обновления пакетов из него автоматически.
Начиная с 8-ой версии в OpenVAS улучшили поддержку Master-Slave взаимодействия сканеров. Теперь распределять задачи и балансировать нагрузку стало гораздо проще. В связи с этим в американской компании NopSec решили сделать PoC кластера для сканирования на наличие уязвимостей. Цель была в том, чтобы навести порядок в сканирующей инфраструктуре и раскатывать новые версии сканера без задержек. Плюс посмотреть как Docker впишется в продакшн, разработку, тестирование систем и во все существующие процессы. Были подготовлены 2 docker-контейнера с OpenVAS настроенным как master и как slave.
Архитектура
На каждом Docker-контейнере запускаются процессы openvas manager и scanner, а также PostgreSQL и Redis для поддержки openvas manager.
