CPEスキャン

CPEについて

CPE(Common Platform Enumeration)をFutureVulsに登録することで幅広い製品などの脆弱性を検知できます。

CPEについての説明はIPAによるCPE概説をご覧ください。

CPEには、以下の2種類が定義されています。

  • URI形式 (例: cpe:/a:microsoft:internet_explorer:8.0.6001:beta )
  • Formatted String形式 (例: cpe:1.3:a:microsoft:internet_explorer:8.0.6001:beta:*:*:*:*:*:* )

URI形式はバージョン2.2、 FormattedString形式はバージョン2.3と呼ばれています。
表示できる情報量は変わらず、表示形式に差があるのみとなっています。
FutureVulsでは、URI形式、FormattedString形式どちらでも登録可能となっていますが、表示はURI形式に統一しています。

CPEの利用用途

例えば以下のような脆弱性を検知可能です。

  • ネットワーク機器のファームウェア (ex. cpe:/h:cisco:12000_router )
  • wordpressなどのCMS (ex. cpe:/a:wordpress:wordpress:3.8 )
  • Oracle Database, Oracle WebLogicなど
  • 自分でコンパイルしてインストールしたアプリケーション
  • プログラミング言語のライブラリの脆弱性を検知する (ex. cpe:/a:ruby-i18n:i18n:0.6.5:-:~-~-~ruby~~ )
  • Androidの脆弱性を検知する (ex. cpe:/o:google:android:- )
  • Windows製品の脆弱性を検知する (ex. cpe:/o:microsoft:windows:- )
  • 特定のOSに関連する全ての脆弱性を検知する (ex. cpe:/o:redhat:linux:7.2 )

上記のように、CPEを使用することで脆弱性検知の幅が広がります。

CPE登録

CPEはソフトウェア一覧から登録できます。

CPE登録後、登録したサーバがスキャンしたタイミングで 追加したCPEの脆弱性が検知されます。

現在、CPEの登録方法は4種類あります。

image.png

プルダウンで選択して登録する

partやvendorなどをプルダウンで選択してCPEを登録します。

候補としてプルダウンに現れるCPEはNVDのデータベースから取得しています。
プルダウンから候補が見つからない場合、手入力での登録も可能です。

image.png

URI形式、またはFormatedString形式で登録する

CPEの形式がわかっている場合は、CPE名称を貼り付けて登録できます。

image.png

OWASP Dependency Checkのxmlから複数登録する

OWASP Dependency Check を利用している場合、出力されたxmlを使用し、検知したライブラリを一括で登録できます。

信頼度が低いCPEはあらためて確認の上で登録してください。

image.png

フリーテキストで複数登録する

登録したいCPEが複数ある場合、フリーテキストで貼り付けて登録できます。 image.png

擬似サーバ

CPEの登録にはサーバが必要です。
すでにスキャンしているサーバにもCPEの登録が可能ですが、ネットワーク機器としてCPE専用のサーバを用意したいという場合は、擬似サーバを作成しましょう。

擬似サーバは、CPE登録専用のサーバとなっており、サーバ一覧から作成できます。
作成後は、通常のサーバ同様にソフトウェアからCPEを登録します。

擬似サーバもスキャンサーバと同様に1つのサーバとして料金計算されます。ご注意ください。

image.png

擬似サーバはスキャンサーバと違い、手動でのスキャンが可能です。
CPEを登録し、すぐにスキャンを実行し、脆弱性を確認できます。

image.png

なお、手動でスキャンを実行しなくても、毎日決まった時間にスキャンが自動で実行されます。

CPEの脆弱性検知

CPEの脆弱性検知のタイミングは擬似サーバとそれ以外で異なります。

通常のサーバの場合

サーバのスキャン時と一緒に脆弱性が検知されます。

擬似サーバの場合

手動スキャンを実行するか、もしくは、毎日決まった時間にスキャンされます。
スキャン時間はサーバ詳細に記載されています。

CPEアップデート

一度登録したCPEは画面からアップデートを行うことができます。

CPEをアップデートする事で、通常のパッケージ管理同様に、タスクのステータスを管理できます。

image.png

アップデートは、プルダウンから選択、またはCPENameで指定できます。
プルダウンは該当する値がなくても、手動で入力することにより登録できます。

image.png

運用例
  • wordpress3.8をFutureVulsで管理するために、 cpe:/a:wordpress:wordpress:3.8 を登録する。
  • 手動スキャンを実行し、wordpress3.8 の脆弱性を確認する。
  • 対応が必要な脆弱性に対して、タスクの担当者、対応予定、優先度等を設定する。
  • 実機のwordpressのバージョンを4.0にアップデートする。
  • FutureVulsのCPE (cpe:/a:wordpress:wordpress:3.8) を選択し、アップデートボタンをクリックし、バージョンを 4.0 に変更する。
  • 再度手動スキャンを実行し、脆弱性が解消されているかを確認する。

あくまでCPEのバージョン以下をアップデートする作業であるため、Part・Vendor・Productは変更できません。

CPE削除

CPEを誤って登録してしまった場合は、CPEの削除ができます。

image.png

CPEを削除すると、関連するタスク、脆弱性もすべて削除されます。
(削除したCPE以外にも紐付いているタスク、脆弱性は削除されません)