脆弱性

脆弱性タブについて

脆弱性タブではグループ内で検知した脆弱性の一覧が表示されます。 対応判断(トリアージ)にてよく参照する項目を抽出し表形式で表示し、ソートやフィルタ機能を用いて高リスクな脆弱性を抽出してタスク登録を行ったり、逆に低リスクな脆弱性を非表示にすることが可能です。 画面上で複数選択を行い、選択したタスクを一括で更新できるような画面構成のため、効率的にトリアージ作業を行うことが可能です。

脆弱性一覧

脆弱性一覧では、検知された脆弱性を一覧でみることができます。 image.png

一覧の項目の順番と、表示、非表示は画面で設定できます。

項目 詳細
CVE ID 検知された脆弱性のCVE ID
深刻度 脆弱性の深刻度。CVSSv3の値を元に、 Critical High Low None で表示
サマリ 脆弱性のサマリ。言語設定が ja の場合は、JVNのサマリが優先的に表示される
CVSS v2 CVSSv2のスコアの中で最大のもの
CVSS v3 CVSSv3のスコアの中で最大のもの
NVD NVD v3のスコアが表示される(スキャンのタイミングで更新
JVN JVN v3のスコアが表示される(スキャンのタイミングで更新
Red Hat Redhat v3のスコアが表示される(スキャンのタイミングで更新
Microsoft Microsoft v3のスコアが表示される(スキャンのタイミングで更新
アドバイザリID CVEIDに紐づいているアドバイザリIDが表示されるWindowsの場合はKBID
NWから攻撃可能 CVSSメトリックのうち、AV(Atack Vector)がNetworkであるかどうか
権限なしで攻撃可能 CVSSメトリックのうち、Au(Access Complexity)か、PR(Privileges Required)が不要であるかどうか
攻撃コードあり 攻撃コードやPoCが公開されているかどうか
プロセス起動中 関連するプロセスがサーバ上で起動中、ポートを開いてListenしているかどうか
緩和策/回避策 Redhat,Microsoftのデータソースに緩和策、回避策があるかどうか(スキャンのタイミングで更新
警戒情報 JPCERT, USCERT注意喚起情報に掲載されているかどうか
パッチ提供済み アップデートパッチが提供されているかどうか
OWASP TOP10か OWASP TOP10に該当する脆弱性かどうか
全タスク数 脆弱性に紐づくタスクの数
未対策タスク数 脆弱性に紐づいているタスクのうち、スタータスが「NEW」でかつ、非表示設定がないものの数
トピックカウント 脆弱性に登録されているトピックの数
初回検知日時 その脆弱性が初めて検知された日時
最新検知日時 その脆弱性が検知された最新の日付
ベクター・スコア更新日時 CVSSベクターかスコアが更新された日時、またはその脆弱性が初めて検知された日時

一覧タブ

脆弱性一覧には、使いやすいようにタブが用意されています。

  • 重要な未対応
    • 未対応なタスクを含む脆弱性のうち、「重要な未対応」の条件に設定した条件に合致するものを表示
  • その他の未対応
    • 未対応なタスクを含む脆弱性。「重要な未対応」の条件に合致しなかったものを表示
  • 対応中
    • すべての関連するタスクのステータスが ONGOING または INVESTIGATING である脆弱性
  • 対応済み
    • すべての関連するタスクが 非表示 に設定された脆弱性
    • すべての関連するタスクのステータスがWORKAROUNDPATCH_APPLIED である脆弱性
  • すべて
    • 検知された全ての脆弱性を表示

「重要な未対応」の条件

リスクが高いと判断する脆弱性の判断条件を事前に設定し、新たに検知した条件に合致する脆弱性を「重要な未対応」タブに振り分けることで優先的に対応することができるようになります。

「重要な未対応」に設定できる項目は以下の通りです。

image.png

「重要な未対応」タブに振り分けられる条件は下記のとおりです

Danger指定されている脆弱性は強制的に「重要な未対応」となります。 または、「重要な未対応」の条件に合致する脆弱性も対象となります。詳細なルールは以下の通りです。

CVSSスコア

  • or条件で判断されます
  • Red HatとMicrosoftはCVSS v2, v3の大きいほうのスコアを採用します

CVSS Base Metrics

  • and条件で判断されます
  • 各データソースのCVSSv3のメトリクスの内、一つでも該当するものがあれば採用されます。たとえば、ネットワークから攻撃可能かのAVが以下であれば、AV:Nとして判断します。
    • Red Hat … AV:L
    • NVD … AV:N

脆弱性タブ>「重要な未対応」の条件確認ボタンから設定されている条件を確認できます。

image.png

指定した脆弱性に関連するタスクを非表示

複数の脆弱性を選択して、その脆弱性に関連する全てのサーバのタスクを非表示にすることができます。

image.png

指定した脆弱性に関連するタスクを更新

複数の脆弱性を選択して、その脆弱性に関連する全てのサーバのタスクを更新することができます。

image.png

脆弱性第二ペイン

第一ペインの脆弱性一覧の項目をクリックすると、第二ペインが現れます。

image.png

詳細タブ

詳細タブでは脆弱性の詳細を確認することができます。

image.png

脆弱性詳細では、以下の項目が表示されます。

項目 詳細
サマリ NVD,JVN,Redhat,Microsoftなどの脆弱性DBの説明と、スコアを表示
CVSS 各脆弱性DBのベクターを分解したCVSS(v2,v3)のメトリクスを詳細に表示
攻撃コード 攻撃コードが見つかった場合、リンクと説明を表示
警戒情報 JPCERT,USCERTの警戒情報が見つかった場合、リンクを表示
CWE 脆弱性に関するCWEを表示
ディストリビューションサポートページ 各ディストリビューションが出している、公式の脆弱性情報ページを表示
Reference 脆弱性に関するリファレンスを表示

CVSSスコアの再計算

CVSSの下にある 「CVSSスコアの再計算」をクリックすると再計算用のページが開きます。
現状値を評価したスコアと、現状値と環境値を評価したスコアが表示されます。

image.png

また、攻撃コードが公開されている脆弱性の場合は、「現状評価基準」>攻撃される可能性に赤枠でヒントが表示されます。

image.png

トピック

FutureVulsでは、各脆弱性性にトピックを作成して、グループ内、オーガニゼーション内で調査結果やコメントを共有することができます。

トピックの詳細についてはこちらをご覧ください。

image.png

タスク×サーバ

選択した脆弱性に関連するタスクとサーバが表示されます。
未対応 または 対応中 のタスクのみ表示され、対応済みや非表示にしたタスクは表示されません。

image.png

ソフトウェア

脆弱性に関連するサーバにインストールされているソフトウェアを全て表示することができます。

image.png