Come trovare e correggere le vulnerabilità Default Account in InsightVM

04/01/2021
In questo post del blog, parleremo di un paio di funzionalità meno recenti e meno conosciute che possono ancora fornire un valore straordinario utilizzando InsightVM trattando le Vulnerability Categories, per trovare le categorie e sfruttarle come filtri di asset con i Dynamic Asset Group (DAG), consentendoci di creare un workflow da configurare ed eseguire su nuove installazioni per monitorare e riparare le vulnerabilità dei Default Account. Vedremo anche come utilizzare questo workflow come template per altri workflow simili con diverse Vulnerability Categories.

Vulnerability Categories e dove trovarle in InsightVM
La prima cosa che suggeriamo di mostrare a ogni cliente durante una distribuzione, mentre esploriamo le opzioni nel template di scansione sono le Vulnerability Categories. È possibile visualizzare un elenco di tutte le Vulnerability Categories nella scheda Vulnerability di qualsiasi template di scansione. Mostrerà un elenco di tutte le diverse categorie e, se lo si desidera, è anche possibile approfondire ogni categoria e vedere tutti i controlli di vulnerabilità effettivi che risiedono in ciascuna categoria.

Andare nella Vulnerability Check Tab sullo Scan Template e fare clic su “Add Categories

vulnerabilità Default Account InsightVM

Ora che sappiamo di questo elenco di categorie di vulnerabilità, concentriamoci sulla categoria di vulnerabilità “Default Account“. Questa categoria mostrerà tutti i controlli di vulnerabilità associati alle risorse che sono vulnerabili alle credenziali dell’account predefinito. Un esempio potrebbe essere un sistema che esegue Telnet sulla porta 23 utilizzando il nome utente “admin” e la password “admin“. Questo tipo di vulnerabilità dovrebbe essere la prima cosa da risolvere nel proprio progetto di vulnerability management, poiché possono essere sfruttate con un’esperienza di hacking quasi nulla.

vulnerabilità Default Account InsightVM

Creazione di un Dynamic Asset Group (DAG) in InsightVM
Per sfruttare la categoria di vulnerabilità “Default Account“, la prima cosa da fare, è creare un Dynamic Asset Group o DAG.

Creare un Dynamic Asset Group (DAG)

vulnerabilità Default Account InsightVM

Creare un Dynamic Asset Group con un filtro ‘Vulnerability Category IS Default Account’, fare clic su Search, quindi su Create Asset Group e salvare il DAG con il nome “Devices Authenticated with Default Creds

vulnerabilità Default Account InsightVM

Questo mostrerà tutte le risorse con vulnerabilità del default account. La sfida adesso è, se una risorsa ha 1.000 vulnerabilità, come capire quale vulnerabilità su quella risorsa è la vulnerabilità del default account. Vediamo come superare questa sfida.

Per risolvere questa sfida, è possibile utilizzare una funzione meno nota durante la creazione di un Report denominato “Vulnerability Filters have been applied“. Quindi, definire l’ambito di un Report con il DAG “Devices Authenticated with Default Creds” creato nel passaggio precedente.

 

Report sulle vulnerabilità dell’account predefinito in InsightVM

Creare un report, selezionando il template “Top Remediation reportwith Details“:

Scegliere quindi come Scope, l’Asset Groups creato nel passaggio precedente “Devices Authenticated with Default Credentials“:

Selezionare il Vulnerability Filter per includere la categoria specifica ‘Default Account’:

Salvare ed eseguire il report:

Combinando il DAG “Devices Authenticated with Default Creds” con il filtro in un report (consigliato il report “Top Remediation with Details“), ora è possibile ottenere un report che mostra solo le risorse con vulnerabilità dell’account predefinito e mostra solo le soluzioni per queste vulnerabilità. Questo report consentirà di vedere esattamente quale vulnerabilità del Default Account è presente su ciascuna risorsa e la soluzione per risolvere la vulnerabilità.

Esempio di vulnerabilità e soluzione del Default Account:

Questo workflow è qualcosa da mostrare alla gente, come un modo per iniziare le attività di remediation in modo concreto. Non solo questi tipi di controlli possono essere un’ottima cosa da risolvere appena si avvia il progetto di vulnerability management, ma permettono anche di iniziare a stabilire una credibilità e un rispetto sorprendenti quando si inizia concretamente a fornire evidenze e soluzioni immediate.

Ora che abbiamo spiegato questo fantastico workflow e sappiamo come vedere tutte le possibili categorie di vulnerabilità, possiamo utilizzare lo stesso workflow con qualsiasi categoria di vulnerabilità. Alcune altre categorie di vulnerabilità che consigliamo di utilizzare sono “Obsolete OS”, “Insecure Remote Access”, “Obsolete Software” o qualcosa di più grande come “Adobe”.

Landon Dalke
Landon Dalke

Enterprise Security Consultant presso Rapid7

Esperto Security Consultant con una storia dimostrata di lavoro nel settore della sicurezza dei computer e della rete. Esperto in Customer Service, Technical Support, Vulnerability Management, e Network Security.

PUBBLICATO DA:<br>Domenico Panetta
PUBBLICATO DA:
Domenico Panetta
Presales Technical Engineer

ARTICOLI CORRELATI