Плановый аудит уязвимостей Nessus'ом: 12 хостов, 3 критических, MS06-040 живёт
Провели первый плановый внутренний аудит уязвимостями Nessus 3.x по расписанию: 12 хостов, нашли три критических, включая незакрытый MS06-040 на двух серверах.
Nessus 3.x переходит на закрытую лицензию Tenable, но сохраняет бесплатный режим для домашнего и некоммерческого использования и остаётся основным инструментом сканирования уязвимостей
Nessus 3.x недавно сменил лицензию - Tenable закрыла исходники, перевела продукт на проприетарную модель. Для коммерческого использования нужна подписка, для некоммерческого - бесплатно, но с ограничениями по количеству IP. Это вызвало волну обсуждений в профессиональных кругах: часть сообщества переключилась на OpenVAS (форк старого кода), часть осталась на Nessus. Мы пока остаёмся - инструмент работает, база плагинов актуальная, отчёты читаемые.
Но повод для поста не в лицензионных играх Tenable. Повод - мы наконец провели первый плановый внутренний аудит уязвимостей по расписанию, а не по инциденту.
Как дошли до плановости. После прошлогоднего анализа MS06-040 и первого формального pentest'а стало очевидно: сканировать только когда что-то уже горит - плохая стратегия. Мы договорились с клиентом на ежеквартальный цикл: плановое сканирование, отчёт, приоритизация, контроль закрытия. Март - первый цикл в рамках этой договорённости.
Scope: 12 хостов - серверный сегмент плюс несколько ключевых рабочих станций. Не вся сеть, именно те узлы, которые клиент считает критическими для бизнеса. Сканирование в пятницу вечером, чтобы минимизировать влияние на работу.
Что нашёл Nessus. Отчёт вышел на несколько десятков строк, но если убрать info-уровень и low-риски - картина структурируется:
- Три критических - и все три требовали немедленной реакции.
- Несколько medium - старые версии сервисов, небезопасные конфигурации SSL, открытые порты без явной необходимости.
- Info и low - для фона, смотрим в динамике между циклами.
MS06-040 на двух серверах - это сильно. Уязвимость в Server Service, позволяющая удалённое выполнение кода без аутентификации. Мы её разбирали ещё в августе прошлого года. Патч Microsoft выпустил в том же августе. И вот март следующего года - два сервера без патча. Один из них - файловый сервер с достаточно широким доступом из сети.
Причина не загадочная: патч прилетел летом, в суматохе его применили не везде, а проверки не было. Стандартная история для инфраструктуры без формального patch management'а. Сервера работали, никаких видимых проблем не было - и никто не торопился.
Третья критическая находка - открытый anonymous FTP на одном из серверов с записью в директорию. Судя по всему, кто-то настраивал временный обменник для подрядчика и не убрал за собой. Классика.
Что делали дальше. По MS06-040 - патч в тот же вечер, оба сервера, перезагрузка, повторная проверка плагином. Не «запланировать на следующую неделю», а именно в тот же вечер - потому что уязвимость критическая и публично известная больше полугода. FTP - отключение сервиса, проверка других хостов на предмет аналогичного. Medium-риски - в задачи с дедлайном две недели.
Наблюдение по итогам первого цикла. Плановый аудит и аудит «по поводу» дают принципиально разный результат. Когда сканируешь потому что «случилось» - ищешь конкретную проблему и вокруг неё. Когда сканируешь по расписанию - видишь накопившийся технический долг. MS06-040, висящий семь месяцев, - это не халтура. Это нормальное состояние инфраструктуры без периодического внешнего взгляда.
Ещё один момент: Nessus хорош как первый слой, но не как единственный. Он нашёл незакрытые патчи и открытый FTP отлично. Но конфигурационные проблемы - неправильные права, слабые политики паролей, избыточные привилегии - требуют отдельного ручного прохода. Инструмент видит то, что торчит снаружи; то, что спрятано внутри логики - не видит.
Что ввели как стандарт. Ежеквартальное сканирование уязвимостей как часть аудита - теперь это не разовая история, а зафиксированная услуга с понятным циклом: скан, отчёт, план устранения, контрольная проверка. Первый цикл показал, что даже небольшая инфраструктура держит сюрпризы.
Следующий запуск - в июне. Посмотрим, что останется из medium-рисков и что нового успеет появиться.