2020-07-17 リリース内容

今回のリリースでは以下の変更を行いました。

Windows資産管理機能強化

FutureVulsのWindows用スキャナはWindowsに未適用のKBに含まれるCVE-IDの検知と管理が可能です。 今回のリリースではKBの検知に加えて資産管理系の機能が強化されました。

  • インストール済みのアプリやKBをサーバ>ソフトウェアで参照可能に
  • インストール済みのアプリやKBのグループ横断検索が可能に
  • WSUS配下のWindows PCのKBも検知可能に
  • FutureVulsにアップロードする情報をカスタマイズ可能に
  • resultsフォルダ(検知結果格納用)を自動掃除

インストール済みのアプリやKBをサーバ>ソフトウェアで参照可能に

FutureVuls管理対象のWindows PCにインストール済みのアプリやKBはサーバ>ソフトウェアに表示されます。自分でインストールしたアプリも表示されます。

windows-server-software

インストール済みのKBも表示されます。

windows-server-software-kb

インストール済みのアプリやKBのグループ横断検索が可能に

これまでのCSIRT>グループ横断検索ではLinuxのパッケージやCPE, アプリケーション依存ライブラリがソフトウェア検索の対象でしたが、今回のリリースでWindows PCにインストール済みのアプリやKBも検索可能になりました。

この機能は以下のようなケースで役に立ちそうです。

ある朝、自宅でネットニュースを見ていたセキュリティ部門所属のあなたは、あるWindwos用人気アプリにCVE-ID未割り当て状態の高リスクな脆弱性が公開されたことを知ります。
脆弱性情報を調査したところ危険な脆弱性でPoCも公開されており攻撃も観測され始めているため一刻も早いアップデートが必要なようです。
この人気のアプリは社内でよく使われていますが、どのPCにインストールされているかはわかりません。
あなたは全社員にアプリをアップデートするようにメールを送付します。
その後、社員がメールを見たかどうか、また本当にアップデートしたどうか、それは誰にもわかりません。。。

今回のリリースでは上記のようなケースで真価を発揮します。 FutureVuls画面上からソフトウェア名で横断検索することで組織内で影響のあるPCやインストールされているバージョンを瞬時に把握し、その後の対応を素早く行うことが可能となります。また後日、アップデートせずに放置しているPCを特定できるため、注意喚起後の対応状況の追跡にも役に立つ機能です。

csirt-hideamru ※ 画像はイメージです

WSUS配下のWindows PCのKBも検知可能に

これまでのFutureVulsはインターネット上のWindows Updateを参照していたため、LocalネットワークのWSUS配下にあるWindows PCで未適用なKBの一覧を取得できませんでした。
今回のアップデートからconfig.tomlの設定をすることで、Localネットワーク上のWSUSを参照して未適用なKBを検知することが可能となりました。

Windows Updateのアクセス先を変更する場合は、config.tomlのWinUpdateSrcを以下のように設定して下さい。

  • インターネット上のWindows Updateは”2”を指定(デフォルト)
[Servers]
  [Servers.localhost]
    Host = "localhost"
    UUID = "xxx-xxx-xx"
    WinUpdateSrc = "2"
  • LocalのWSUSは”1”を指定
[Servers]
  [Servers.localhost]
    Host = "localhost"
    UUID = "xxx-xxx-xx"
    WinUpdateSrc = "1"

FutureVulsにアップロードする情報をカスタマイズ可能に

config.tomlのIgnoredJSONKeysにアップロードしたくない情報のJSONのキーを指定することでFutureVulsにアップロードする情報をフィルタすることができます。

  • サンプル:インストール済みのアプリ一覧をアップロードしない設定
[Servers]
  [Servers.localhost]
    Host = "localhost"
    UUID = "xxx-xxx-xx"
    IgnoredJSONKeys = ["packages"]

config.tomlに指定するJSONキーは以下の手順で確認して下さい。

  • debugフラグを付けてvuls.exeを実行
C:\Program Files\vuls-saas>vuls.exe -debug
  • results以下に作成されたjsonファイルをエディタで確認する

resultsフォルダ(検知結果格納用)を自動掃除

これまではC:\Program Files\vuls-saas\results\フォルダ以下に検知結果のJSONを残していましたが、今回のリリースによりスキャン終了時にデフォルトで削除するようにしました。results以下にファイルを残したい場合は、-debugフラグをつけて実行して下さい。

C:\Program Files\vuls-saas>vuls.exe -debug