Cloudflare представил открытый сканер сетевой безопасности Flan Scan

21.11.2019 19:46

Компания Cloudflare сообщила об открытии исходных текстов проекта Flan Scan, обеспечивающего сканирования хостов в сети на предмет наличия неисправленных уязвимостей. Flan Scan является надстройкой над сканером сетевой безопасности Nmap, превращающей последний в полнофункциональный инструмент для выявления уязвимых хостов в крупных сетях. Код проекта написан на языке Python и распространяется под лицензией BSD.

Flan Scan позволяет легко найти открытые сетевые порты в исследуемой сети, определить связанные с ними сервисы и версии используемых программ, а также сформировать список уязвимостей, затрагивающих выявленные сервисы. После завершения работы формируется отчёт, обобщающий выявленные проблемы и приводящий связанные с обнаруженными уязвимостями CVE-идентификаторы, отсортированные по степени опасности.

Для определения уязвимостей, затрагивающих сервисы, используется поставляемый в nmap скрипт vulners.nse (более свежую версию можно загрузить из репозитория проекта), обращающийся к БД Vulners. Аналогичного результата можно добиться командой:


   nmap -sV -oX /shared/xml_files -oN - -v1 --script=scripts/vulners.nse ip-address

"-sV" запускает режим сканирования сервисов, "-oX" определяет каталог для XML-отчёта, "-oN" устанавливает нормальный режим вывода результатов в консоль, -v1 устанавливает уровень детализации вывода, "--script" ссылается на скрипт vulners.nse для сопоставления выявленных сервисов с известными уязвимостями.

Выполняемые Flan Scan задачи в основном сведены к упрощению развёртывания системы сканирования уязвимостей на базе nmap в крупных сетях и облачных окружениях. Предоставляется сценарий для быстрого развёртывания изолированного контейнера на базе Docker или Kubernetes для запуска процесса проверки в облаке и передачи результата в хранилища Google Cloud Storage или в Amazon S3. На базе формируемого nmap структурированного XML-отчёта Flan Scan генерирует простой для восприятия отчёт в формате LaTeX, который может быть преобразован в PDF.

исправить +17 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/51912-cloudflare

Ключевые слова: cloudflare, nmap

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (32)

1.1, lucentcode (ok), 20:49, 21/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Шикарное решение, будем тестить(на своих хостах, в целях повышения их безопасности, естественно).

2.4, Аноним (4), 22:32, 21/11/2019 [^] [^^] [^^^] [ответить]	+7 +/–
Эээ... А вы там все ждали этого скрипта? Почитать ман по nmap и скриптануть самостоятельно уже не в моде?

3.15, привет (?), 09:04, 22/11/2019 [^] [^^] [^^^] [ответить]	+2 +/–
Конечно не модно, вы о чем, ман какой то еще читать. Кастую рост сегмента скрипткиди и повышения зп и значимости devops специалистов

3.18, Нанобот (ok), 10:22, 22/11/2019 [^] [^^] [^^^] [ответить]	+4 +/–
не модно. там же у них докер, kubernetes, выгрузка в облако. всё, что нужно современному ИТ-хипстеру

2.6, Аноним (6), 23:56, 21/11/2019 [^] [^^] [^^^] [ответить]	+3 +/–
> Шикарное решение Может, и шикарное, но абсолютно бесполезное, потому что не учитывает дистрибутивные патчи безопасности (которые не меняют вендорский номер версии).

3.9, анончик (?), 01:51, 22/11/2019 [^] [^^] [^^^] [ответить]	+2 +/–
вон прямо в скриншоте написано: "debian8ubuntu1" -- это как раз версия дистрибутивного патча безопасности. более недавно пропатченный вендором ssh в этой системе имеет версию debian8ubuntu3. т.е. мы тут явно видим систему на ubuntu 8.04, не патченную с 2010 или типа того, всё это отлично версионировано вендором.

4.12, Пороноег (ok), 04:28, 22/11/2019 [^] [^^] [^^^] [ответить]	+/–
Апач 2.4.7 релизнулся в конце 2013 года, так что чуть посвежее система (пока он ещё до дебунтовых репов доехал).

5.13, й (?), 05:39, 22/11/2019 [^] [^^] [^^^] [ответить]	+/–
скриншот с апачем — другая система, там и ssh другой, 6.6

1.2, Аноним (2), 20:56, 21/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Отлично, прямо сегодня и начнём сканировать все свои хосты. Кстати, конторы типа российских банков сканируют клиентов, насколько это легально? Легальность уровня MITM и подстановки рекламы в трафик я так понимаю?

2.7, Аноним (6), 23:59, 21/11/2019 [^] [^^] [^^^] [ответить]	+/–
Мобильный банк? Да, сканировать мобилки с сервера на предмет руткитов уже стало хорошим тоном. Люди, которые всерёз думают о безопасности, смартфонами и планшетами не пользуются, значит, аудитория мобильных банков — йузеры "я ничего не делал, оно само".

3.10, Аноним (10), 01:53, 22/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
>Да, сканировать мобилки с сервера на предмет руткитов уже стало хорошим тоном. Это через прохождение удаленной аттестации TEE?

2.11, Аноним (11), 03:25, 22/11/2019 [^] [^^] [^^^] [ответить]	+/–
Сейчас бы в 2к19 поразмышлять о легальности установки соединений с удалёнными хостами в публичной сети… Если в таком поведении нет злонамеренности (установка избыточного количества соединений для истощения ресурсов, например), это совершенно легальное и нормальное поведение.

1.3, Винтажный газогенератор (?), 22:15, 21/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Уже давно пользуюсь nmap+vulners. Удобный легковесный сканер.

2.5, хотел спросить (?), 22:44, 21/11/2019 [^] [^^] [^^^] [ответить]

+/–

чет на шляпу похоже

3306/tcp open  mysql           MySQL 5.5.5-10.3.15-MariaDB
| vulners:
|   MySQL 5.5.5-10.3.15-MariaDB:
|_      NODEJS:602      0.0     https://vulners.com/nodejs/NODEJS:602

идем по ссылке

Versions of mysql before 2.14.0 are vulnerable to remove memory exposure.

Ну и что за хрень? Где 5.5.5 и 2.14.0 ?

Можете перевести с китайского?

3.8, Anonymouss (?), 01:18, 22/11/2019 [^] [^^] [^^^] [ответить]	–1 +/–
Ну 0.0 ведь меньше чем 2.14, не?

3.20, Аноним (20), 10:31, 22/11/2019 [^] [^^] [^^^] [ответить]	+/–
А что ты хотел любая нестандартная сборка небезопасна по умолчанию. Качай только из репы и только то что сканер тебе разрешит. Где его знак качества стоит. Это как сигнал проверьте мотор, мотор может и работает и будет еще долго, но лучше проверить и поставить правильный мотор.

4.23, Igor (??), 11:38, 22/11/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Это стандартная сборка MariaDB, просто тупой скрипт не распарсил номер версии, состоящий из номера версии MySQL и номера версии MariaDB

5.24, Аноним (24), 12:01, 22/11/2019 [^] [^^] [^^^] [ответить]	+/–
Ясен фиг что он просто не понимает что это за версия. Но раз он тренировался на каких-то других версиях значит тестировал и доверяет он другому формату записи и соответственно другой версии сборки.

4.27, rshadow (ok), 15:15, 22/11/2019 [^] [^^] [^^^] [ответить]

+/–

> сигнал проверьте мотор

Это не работает. Через месяц ты просто забъешь на просмотр ложных сигналов.

К сожалению эта штука не монитор уязвимостей на каждый день. А только инструмент для ручной проверки, по желанию/графику.

3.30, Аноним (30), 19:25, 23/11/2019 [^] [^^] [^^^] [ответить]	+/–
По ссылке вообще другой mysql - клиент MySQL на JavaScript.

1.14, Не очень умный (?), 06:39, 22/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
это, по сути, набор портянок вокруг нмапа и еще пары тулз, да?

2.16, привет (?), 09:08, 22/11/2019 [^] [^^] [^^^] [ответить]	+8 +/–
Тут, главное, название крутое прилумать

3.17, angel (??), 10:16, 22/11/2019 [^] [^^] [^^^] [ответить]	+1 +/–
Лумали-лумали и прилумали.

2.19, powershell (ok), 10:28, 22/11/2019 [^] [^^] [^^^] [ответить]	+/–
В первую очередь с привязкой к базе cve от vulners

2.29, хотел спросить (?), 23:10, 22/11/2019 [^] [^^] [^^^] [ответить]

+/–

> это, по сути, набор портянок вокруг нмапа и еще пары тулз, да?

да

сам скрипт можно использовать без flan и всяких говнодокеров

1.21, Аноним (20), 10:38, 22/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Можно теперь выявлять список уязвимостей и с телеметрией отправлять куда надо.

1.22, mumu (ok), 10:42, 22/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я так понял работа в оффлайн режиме не предусмотрена? постоянно лезет на этот vulners. т.е. сканировать внутренний периметр безопасности уже не катит?

2.25, Аноним (24), 12:05, 22/11/2019 [^] [^^] [^^^] [ответить]	+/–
Там же открытый код, там явно видно что он сами уязвимости в себе не содержит он их скачивает. В целом можно поправить под себя но из коробки он постоянно проверяет новые уязвимости.

3.26, mumu (ok), 14:05, 22/11/2019 [^] [^^] [^^^] [ответить]	+2 +/–
мне правда интересно у них DMZ сетей внутри нет, или везде нарезаны дырки от штуковины, которая в интернет лазает?

4.28, привет (?), 17:39, 22/11/2019 [^] [^^] [^^^] [ответить]	+/–
Господи о чем вы уже , DMZ какие то страшные Прошлый век же - Как я из это вышей этой ДМЗ на s3 вылезу или облако ?? А ведь еще убунта должна обновления себе скачать Ну и конечно же в продакшн среде должна быть возможность утащить последние свеженьнике пакеты для nodejs, с github

2.32, онанимуз (?), 20:09, 26/11/2019 [^] [^^] [^^^] [ответить]	+/–
вульнерс это известные "вайтхэты", пихающие всевозможные бэкдоры и стучалки в свой софт. давным-давно на рдоте срач по этому поводу был, с тех пор обхожу их стороной.

1.31, cloudflarezoey (?), 19:57, 23/11/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Our add-on is open source. You can trust us. Please contact us so we can assist you. https://support.cloudflare.com/hc/en-us/requests/new

Добавить комментарий

Текст: