昨年オープンソースとなったGoogleのTsunamiセキュリティスキャナーは重要なアップデートを行った。アップデートとして、検出機能を拡張し、Webアプリケーションのフィンガープリントに対するサポート追加などを行った。
Google Tsunamiは、ハッカーがGoogle自体などの大規模な組織にもたらす特定の課題に対処しようとするセキュリティスキャナーである。
このようなハイパースケール環境では、セキュリティの脆弱性を検出し、理想的には完全に自動化された方法で修正されなければなりません。これを可能にするには、情報セキュリティチームは、非常に短い時間で新しいセキュリティ問題の検出器を大規模に展開できる必要があります。さらに、検出品質が一貫して非常に高いことが重要です。
Tsunamiは2つのステップでシステムをスキャンする。まず、nmap
とフィンガープリントベースの手法を使用して、開いているポートでアクセス可能なサービスを検出する。2番目のステップでは、Tsunamiは、脆弱性が実際に存在することを確認するために、識別された各サービスで利用可能なすべてのプラグインを使用して、害がないように脆弱性を突く。
最新のアップデートで、Tsunamiは実際に悪用された脆弱性に対処する15の新しいプラグインを取得する。すでに初期リリースに含まれていたJenkins、Jupyter、Hadoop Yarnなどのサービスのプラグインに加えて、Tsunamiは現在、Kubernetes、PHPUnit Vulnerable eval-stdin.php、Spring Boot Actuator Endpoint、Elasticsearch向けのプラグインを提供している。さらに、Tsunamiには、リモートコード実行の脆弱性に対処するまったく新しいプラグインのセットが含まれている。そこには、PHP CVE-2012-1823や、Apache Strutsコマンドインジェクションなどが含まれている。
Tsunamiが新しい機能として得たもう1つの領域はfingerprintingである。これにより、人気のあるいくつかのWebアプリケーションについて、名前とバージョンを識別できる。その中で、Tsunamiは特別な設定することなく、GitLab、Drupal、Grafana、Magento、OpenCart、phpMyAdminなどをサポートする。
Tsunamiはまだ初期段階にあり、Googleは検出機能をさらに拡張するために引き続き取り組んでいく。
Tsunamiの検出機能を最新の状態に保つために、私たちはさまざまなプロジェクトを開始して、実環境における脆弱性の悪用を調査しました。この分野での取り組みについては、間もなく詳細を公開する予定です。
利用できるオープンソースのセキュリティスキャナーはTsunamiだけではない。成熟した代替手段として、特に大規模な組織を対象としたものではないが、50,000を超える既知の脆弱性のテストを含むOpenVASがある。
GitHubでTsunamiをforkできる。