CPE(Common Platform Enumeration)をFutureVulsに登録することで幅広い製品などの脆弱性を検知できます。
CPEについての説明はIPAによるCPE概説をご覧ください。
CPEには、以下の2種類が定義されています。
cpe:/a:microsoft:internet_explorer:8.0.6001:beta
)cpe:1.3:a:microsoft:internet_explorer:8.0.6001:beta:*:*:*:*:*:*
)URI形式はバージョン2.2、 FormattedString形式はバージョン2.3と呼ばれています。
表示できる情報量は変わらず、表示形式に差があるのみとなっています。
FutureVulsでは、URI形式、FormattedString形式どちらでも登録可能となっていますが、表示はURI形式に統一しています。
例えば以下のような脆弱性を検知可能です。
cpe:/h:cisco:12000_router
)cpe:/a:wordpress:wordpress:3.8
)cpe:/a:ruby-i18n:i18n:0.6.5:-:~-~-~ruby~~
)cpe:/o:google:android:-
)cpe:/o:microsoft:windows:-
)cpe:/o:redhat:linux:7.2
)上記のように、CPEを使用することで脆弱性検知の幅が広がります。
CPEはソフトウェア一覧から登録できます。
CPE登録後、登録したサーバがスキャンしたタイミングで 追加したCPEの脆弱性が検知されます。
現在、CPEの登録方法は4種類あります。
partやvendorなどをプルダウンで選択してCPEを登録します。
候補としてプルダウンに現れるCPEはNVDのデータベースから取得しています。
プルダウンから候補が見つからない場合、手入力での登録も可能です。
CPEの形式がわかっている場合は、CPE名称を貼り付けて登録できます。
OWASP Dependency Check を利用している場合、出力されたxmlを使用し、検知したライブラリを一括で登録できます。
信頼度が低いCPEはあらためて確認の上で登録してください。
登録したいCPEが複数ある場合、フリーテキストで貼り付けて登録できます。
CPEの登録にはサーバが必要です。
すでにスキャンしているサーバにもCPEの登録が可能ですが、ネットワーク機器としてCPE専用のサーバを用意したいという場合は、擬似サーバを作成しましょう。
擬似サーバは、CPE登録専用のサーバとなっており、サーバ一覧から作成できます。
作成後は、通常のサーバ同様にソフトウェアからCPEを登録します。
擬似サーバもスキャンサーバと同様に1つのサーバとして料金計算されます。ご注意ください。
擬似サーバはスキャンサーバと違い、手動でのスキャンが可能です。
CPEを登録し、すぐにスキャンを実行し、脆弱性を確認できます。
なお、手動でスキャンを実行しなくても、毎日決まった時間にスキャンが自動で実行されます。
CPEの脆弱性検知のタイミングは擬似サーバとそれ以外で異なります。
サーバのスキャン時と一緒に脆弱性が検知されます。
手動スキャンを実行するか、もしくは、毎日決まった時間にスキャンされます。
スキャン時間はサーバ詳細に記載されています。
一度登録したCPEは画面からアップデートを行うことができます。
CPEをアップデートする事で、通常のパッケージ管理同様に、タスクのステータスを管理できます。
アップデートは、プルダウンから選択、またはCPENameで指定できます。
プルダウンは該当する値がなくても、手動で入力することにより登録できます。
cpe:/a:wordpress:wordpress:3.8
を登録する。あくまでCPEのバージョン以下をアップデートする作業であるため、Part・Vendor・Productは変更できません。
CPEを誤って登録してしまった場合は、CPEの削除ができます。
CPEを削除すると、関連するタスク、脆弱性もすべて削除されます。
(削除したCPE以外にも紐付いているタスク、脆弱性は削除されません)