Rapid7 Nexpose

Основная статья: Межсетевой экран (Firewall)

Nexpose - универсальный сканер уязвимостей от компании Rapid7.

2020: Выявление уязвимости, позволяющей получать неавторизованный доступ к ресурсам и данным

Positive Technologies сообщила 26 октября 2020 года о том, что ее эксперт Михаил Ключников выявил уязвимость в продукте Rapid7 Nexpose, которая позволяет злоумышленникам c низкими привилегиями в системе получать неавторизованный доступ к ресурсам и данным. Уязвимость присутствует в компонентах Security Console версии 6.6.48 и ниже.

Продукт Nexpose — это инструмент для управления уязвимостями, который позволяет компаниям оперативно выявлять бреши в защите их инфраструктуры.

Уязвимость CVE-2020-7383 позволяет провести атаку типа «внедрение SQL-кода», в результате чего авторизованный злоумышленник может получить доступ к некоторым данным, хранящимся в базе данных. Они могут включать в себя информацию о найденных уязвимостях, проведенных сканированиях, политиках. Также используя внедрение SQL-кода атакующий может проводить DDoS-атаки на базу данных, что приводит к нарушению нормальной работы веб-интерфейса.

Данная уязвимость позволяет авторизованному злоумышленнику получить доступ к некоторым данным, хранящимся в базе данных, изменять их или добавлять записи, — рассказывает Михаил Ключников. — Причем эксплуатировать ошибку можно даже обладая низкими привилегиями в системе — это позволит получить доступ к данным, которые не должны видеть пользователи с таким уровнем прав.

Уязвимость получила оценку 6,5, что соответствует среднему уровню опасности. Разработчик продукта Nexpose, компания Rapid7, опубликовала обновления, в которых ошибка исправлена.

2016: Rapid7 Nexpose прошел аттестацию на соответствие требованиям ФСТЭК

По итогам испытаний компания Rapid7 получила сертификат соответствия №3550, подтверждающий, что программное обеспечение Rapid7 Nexpose соответствует требованиям технических условий и является программным средством анализа защищённости информации, не содержащей сведений, составляющих государственную тайну.

Решение Rapid7 Nexpose предназначено для защиты информации, и может применяться организациями для сканирования уязвимостей и принятия обоснованных решений по управлению рисками, обеспечивая соответствие своих информационных систем требованиям регуляторов.

2015

Проверка ФСТЭК РФ

27 октября 2015 года стало известно о решении Федеральная служба по техническому и экспортному контролю (ФСТЭК России) от 11 июня 2015 года о проведении сертификации партии программного обеспечения Rapid7 Nexpose.

Сертификационные испытания ПО Rapid7 Nexpose предстоит провести на соответствие требованиям технических условий, основное из которых - требование к обнаружению уязвимостей в различном программном обеспечении. Сертификационные испытания проведет испытательная лаборатория ЗАО "НПО "Эшелон", аккредитованная ФСТЭК России.

Александр Барабанов, директор департамента сертификации и тестирования ЗАО "НПО "Эшелон",отметил: "Около 10% продуктов по информационной безопасности, представленных на территории России, прошли сертификацию ФСТЭК. Решение о подаче сканера уязвимостей Rapid7 Nexpose на сертификацию, принятое разработчиком, позволит ему продемонстрировать соответствие своего продукта требованиям ФСТЭК России и этим повысить к нему доверие со стороны российского рынка информационных технологий. При успешном завершении сертификации конечные пользователи продукта смогут обеспечить соответствие своих информационных систем требованиям регуляторов".

Возможности Nexpose

Существуют различные вариации продукта Nexpose, ориентированные на различные компании. Бесплатная версия продукта рассчитана на небольшие компании или частное пользование (до 32 ip-адресов).

Возможности системы

• Сканирование сети и операционных систем
  • Более 54500 различных проверок из базы 14000+ уязвимостей;
  • Низкий уровень ложных срабатываний;
  • Высокая скорость сканирования;
  • Возможность проводить безопасные проверки, без нарушения работы сети;
  • Обнаружение уязвимостей, в зависимости от установленной операционной системы (ОС);
  • Обнаружение уязвимостей на основании установленных обновлений ОС;
  • Сканирование уязвимостей большого количества ПО и оборудования: Windows, Unix, Cisco, Adobe и др.

• Сканирование WEB приложений
  • Проверки SQL Injection, Directory Traversal, Parameter Manipulation
  • Анализ JavaScript (эмуляция веб браузера);
  • Выявление всех видов XSS уязвимостей, включая DOM XSS.

• Сканирование баз данных
  • Аудит баз данных для обнаружения брешей в защите, в том числе вызванных неправильной настройкой;
  • Большой спектр проверяемых баз данных: Oracle, IBM, PostgreSQL, Sybase, Microsoft, Informix, MySQL.

Скриншот окна приложения (2014)

• Технология NeXpose Expert System
  • Построение цепочек уязвимостей;
  • Глубокое сканирование;
  • Нахождение скрытых уязвимостей;
  • Подтверждение наличия эксплойта для уязвимости.

План устранения уязвимостей

• NeXpose использует элементы искусственного интеллекта для классификации рисков, для принятия обоснованных решений и сосредоточения ресурсов на ликвидацию наиболее критических уязвимостей;
• NeXpose генерирует план устранения уязвимостей, основанный на уровне риска.

• Мощная система отчетов
  • Преднастроенные шаблоны с различной детализацией для технических специалистов, менеджеров и членов правления;
  • Настройка отчета по шаблону пользователя;
  • Экспорт в популярные форматы;

• Простота управления
  • Интуитивно понятный веб-интерфейс Nexpose (Rapid7)
  • Гибкая настройка интерфейса в соответствии с требованиями (PCI DSS, HIPA, FISMA, SOX 404, GBLA);
  • Централизованное управление;
  • Автоматизация рабочего процесса: выполнение заданий по расписанию, уведомление пользователей, генерация и рассылка отчета.

Скриншот окна приложения (2014)

• Расширяемая архитектура
  • Клиент-серверная архитектура, позволяет работать с NeXpose как в малых так и в крупных компаниях;
  • Поставляется в нескольких вариантах исполнения - как программа, или как аппаратное устройство;
  • Открытый и описанный API для интеграции с другими продуктами;
  • Автоматизация рабочего процесса: выполнение заданий по расписанию, уведомление пользователей, генерация и рассылка отчета.