Архив автора: Alexander Leonov

Добавление сторонних плагинов nasl в OpenVAS

Если вы хотите разрабатывать свои nasl-плагины для OpenVAS, вам может быть интересно, как импортировать их в сканер. Вот мне тоже стало интересно.

Прежде всего, я решил скопировать один из существующих сценариев nasl. Я выбрал скрипт, который успешно обнаружил уязвимость на целевом узле. Таким образом, в случае ошибки импорта я бы точно знал, что это не из-за синтаксических ошибок в скрипте, а, например, из-за того, что у плагина нет подписи.

Я просканировал хост с CentOS, выбрал и скопировал файл сценария, изменил идентификатор сценария (oid) и название скрипта, восстановил базу данных. Затем я обновил целевой хост.

CESA edited

Как вы можете видеть, новый скрипт присутствует в результатах сканирования. Всё довольно просто.

CESA edited description

Конкретные команды вы можете видеть в статье “Adding third party nasl plugins to OpenVAS

Greenbone Community Edition и запаздывающий фид

Судя по последнему письму Яна Оливера в Greenbone порядком устали тащить на себе OpenVAS и смотреть как другие компании используют их движок и фиды, позиционируясь как “alternative to Greenbone’s product at a better price”.

В связи с этим
1. “OpenVAS NVT Feed” переименуют в “Greenbone Community Feed”
2. Публичный доступ к “openvas-nvts” SVN repository прикроют, но лицензию менять не собираются
3. Сейчас Community Feed отстает на 14 дней от коммерческого, но они в принципе хотели бы сделать актуальный фид, но без некоторых фич интересных для энтерпрайзных заказчиков.

Потестил виртуальный апплаенс от Greenbone с OpenVAS-ом:

GCE Administration Menu

Выводы:
1. Использовать GCE для сканирования можно. Но я лучше буду продолжать ставить его из исходников или пакетов Ubuntu. Прежде всего потому, что нельзя использовать API. Это наверняка можно поправить руками, но мне кажется это не этично.
2. Олдскульный текстовый интерфейс для настройки это прикольно. Может быть сделаю похожий интерфейс для openvas_commander.
3. Задержки в OpenVAS NVT Feed это очень плохо. Нужно подумать, что с этим делать. Может быть стоит делать альтернативный фид. Если вас это тоже беспокоит, дайте знать в комментариях.

Подробности читайте в “GSM Community Edition and lagging OpenVAS Plugin Feed

Быстрое сравнение баз знаний Nessus и OpenVAS

Лично я считаю, что качество базы знаний является наиболее важной характеристикой Vulnerability Management (VM) продуктов. Возможно потому, что я сам довольно продолжительное время занимался разработкой security content-а для сканеров уязвимостей и это уже профессиональная деформация. =) Теперь, когда я сканеры в основном эксплуатирую, мне хотелось бы поделиться своими наблюдениями о качестве контента, который в них используется. В настоящее время на глобальном VM-рынке представлены десятки решений, которые имеют очень разные базы знаний и следовательно очень разные способности по обнаружению уязвимостей. Очень странно, что эта тема не обсуждается практически вообще. Такое ощущение, что качество сканирование никого не волнует. Рекомендую посмотреть на эту тем пост “Tenable doesn’t want to be Tenable anymore” и особенно комментарий к нему от HD Moore (основатель Metasploit и ex-CRO Rapid7).

Что VM-вендоры обычно рассказывают про базу знаний своего продукта? В лучшем случае количество реализованных проверок: 40000-80000 и примерный лист поддерживаемых систем. Чаще говорят, что умеют вообще всё. Но если все вендоры говорят, что умеют всё и не хотят соревноваться в качестве детекта с конкурентами, чем тогда остается очаровывать клиентов? Дашбордами, отчетами, SIEMоподобной функциональностью. По мне это всё, конечно, важно и круто, но все же не настолько важно как основная функциональность, за которую сканер уязвимостей и покупают. Чтобы показать, что разница в базах знаний действительно есть, я сделал простенькое сравнение Nessus и OpenVAS.

Я выбрал эти два продукта, главным образом потому, что информация о NASL-плагинах, которые в них используются доступна на Vulners.com . Как я писал ранее, как вы можете легко парсить архивы Vulners скриптами на python, так что результаты сравнения вы можете повторить самостоятельно при необходимости. Про сравнение баз знаний OpenVAS и Nessus я также рассказывал первые минут 10 на вебинаре Pentestit про Vulners, вот запись:

Почему я называю это сравнение быстрым и простеньким? Я не определяю структуру баз знаний для продуктов и не сопоставляю один NASL-плагин другому. Вполне вероятно, что я так и сделаю чуть позже. Вместо этого я смотрю только на CVE-ссылки. Если два сканера могут детектить одни и те же уязвимости у них и ссылки в плагинах будут на те же CVE проставлены, так ведь? На самом деле видим значительную разницу между продуктами и более половины из существующих CVE-шек нельзя обнаружить даже используя оба сканера.

CVE links from NASL plugins

Все CVEs: 80196
Ссылки на CVE в OpenVAS: 29240
Ссылки на CVE в Nessus: 35032
Пересечение OpenVAS и Nessus: 3787;25453;9579

Читать далее

Поиск по плагинам OpenVAS в Vulners.com

Отличные новости. На прошлой неделе в поисковик по уязвимостям Vulners.com были добавлены плагины OpenVAS для определения уязвимостей.

OpenVAS plugins Vulners

Чем ценен OpenVAS?

OpenVAS это наиболее развитый сканер уязвимостей с открытым исходным кодом. Он является  базой для многих VM-продуктов. Основные вендоры, выпускающие продукты на основе OpenVAS это Greenbone и Acunetix. Есть также множество локальных вендоров, например СканерВС от российской компании Эшелон.

У “ванильного” OpenVAS и также много пользователей. Он широко применяется там где нет бюджетов на коммерческое решение, необходимо решать специфические задачи или требуется писать свои плагины для детекта уязвимостей. С OpenVAS интегрированы множество систем информационной безопасности, так этот сканер уязвимостей используется по умолчанию в AlienVault SIEM.

ОpenVAS хорошо подходит для обучения. У него открытый код, он хорошо документирован. Для OpenVAS-а всегда понятно что, где и как работает.

Читать далее

Поддержка OpenVAS 7 прекращена

Уважаемые пользователи OpenVAS!

Сегодня закончился срок поддержки релиза OpenVAS 7.

Это означает, что 7ая версия OpenVAS больше не будет активно поддерживаться командой разработчиков.

Другое следствие – в фиде OpenVAS NVT теперь могут появляться проверки, использующие новые возможности 8го релиза. Если использовать старый OpenVAS с этим фидом, это, вероятно, вызовет внутренние ошибки.
Сервер не упадет, но результаты сканирования будут менее полными или менее точными.

openvas8_9

С наилучшими пожеланиями
Ваша команда разработчиков OpenVAS

Прекращается поддержка OpenVAS 7

Уважаемые пользователи OpenVAS,

OpenVAS 7 достиг окончании срока жизни (end-of-life) и команда OpenVAS планирует прекратить поддержку этой версии в течение 3 месяцев с текущего момента до 10 мая 2016.

Если вы до сих пор используете 7ую версию, пожалуйста, свяжитесь со службой поддержки. Если можете, перейдите пожалуйста самостоятельно на более новую версию. Если с обновлением есть проблемы – обратитесь к нам за помощью.
Если будет много сообщений о том, что обновить OpenVAS в течение 3 месяцев невозможно, мы готовы продлить срок поддержки.

Важно:
После после окончания поддержки 7го релиза, фиды OpenVAS NVT будут не полностью совместимы с этой версией OpenVAS! В фидах OpenVAS NVT могут появиться плагины использующие новую функциональность OpenVAS и это может привести к ошибкам в старых версиях.

С наилучшими пожеланиями,
Ваша команда разработчиков OpenVAS

Уведомление безопасности OpenVAS (OVSA20160202)

Разработчики OpenVAS выпустили важное обновление безопасности для Открытой Системы Анализа Защищенности версии 8 (OpenVAS-8).

Были выпущены следующие пакеты:
– Greenbone Security Assistant 6.0.9.

Мы рекомендуем как можно скорее обновить OpenVAS до версии указанной выше.

Было установлено, что Greenbone Security Assistant (GSA) уязвим для атак на отказ в обслуживании из-за неправильной обработки UTF-8 в GET и POST запросах. Имея доступ к веб-интерфейсу GSA злоумышленник может сформировать HTTP-запрос, который может привести к прекращению работы сервиса gsad.

Для получения подробной информации и текущей информации о данной уязвимости обратитесь к следующей странице на сайте OpenVAS: http://openvas.org/OVSA20160202.html

Уведомление безопасности OpenVAS (OVSA20160112)

Исследователь Себастьян Неф из Internetwache.org обнаружил уязвимость типа межсайтовый скриптинг (XSS) в компоненте Greenbone Security Assistant (GSA). Уязвимы версии ≥ 6.0.0 и < 6.0.8. Уровень риска низкий, CVSS 1.9 (AV:A/AC:M/Au:M/C:P/I:N/A:N). Подробности читайте здесь.
Разработчики OpenVAS отреагировали оперативно и уже на следующий день после получения репорта выпустили обновленную версию GSA. В принципе уязвимость не особо опасная, но если OpenVAS GSA торчит из сети наружу или развернут на внешней площадке, стоит обновиться.

Установка OpenVAS на Ubuntu Linux из PPA репозитория

Сервис Canonical Launchpad.net позволяет любому желающему создать репозиторий пакетов для Ubuntu (Personal Package Arhive – PPA) и использовать его для распространения своих пакетов без лишних технических трудностей. А пользователи, прописавшие у себя такой репозиторий, смогут получать обновления пакетов из него автоматически.

Здесь мы рассмотрим процесс установки OpenVAS из PPA репозитория Мохаммада Разави (Mohammad Razavi). Читать далее

Сканирующий OpenVAS кластер на основе Docker-контейнеров для лучшей масштабируемости

Начиная с 8-ой версии в OpenVAS улучшили поддержку Master-Slave взаимодействия сканеров. Теперь распределять задачи и балансировать нагрузку стало гораздо проще. В связи с этим в американской компании NopSec решили сделать PoC кластера для сканирования на наличие уязвимостей. Цель была в том, чтобы навести порядок в сканирующей инфраструктуре и раскатывать новые версии сканера без задержек. Плюс посмотреть как Docker впишется в продакшн, разработку, тестирование систем и во все существующие процессы. Были подготовлены 2 docker-контейнера с OpenVAS настроенным как master и как slave.

Архитектура

На каждом Docker-контейнере запускаются процессы openvas manager и scanner, а также PostgreSQL и Redis для поддержки openvas manager.

openvas-cluster arch
Читать далее