ADG Оставить заявку
Блог Информационная безопасность 4 мин чтения

Плановый аудит уязвимостей Nessus'ом: 12 хостов, 3 критических, MS06-040 живёт

Провели первый плановый внутренний аудит уязвимостями Nessus 3.x по расписанию: 12 хостов, нашли три критических, включая незакрытый MS06-040 на двух серверах.

Контекст момента

Nessus 3.x переходит на закрытую лицензию Tenable, но сохраняет бесплатный режим для домашнего и некоммерческого использования и остаётся основным инструментом сканирования уязвимостей

Nessus 3.x недавно сменил лицензию - Tenable закрыла исходники, перевела продукт на проприетарную модель. Для коммерческого использования нужна подписка, для некоммерческого - бесплатно, но с ограничениями по количеству IP. Это вызвало волну обсуждений в профессиональных кругах: часть сообщества переключилась на OpenVAS (форк старого кода), часть осталась на Nessus. Мы пока остаёмся - инструмент работает, база плагинов актуальная, отчёты читаемые.

Но повод для поста не в лицензионных играх Tenable. Повод - мы наконец провели первый плановый внутренний аудит уязвимостей по расписанию, а не по инциденту.

Как дошли до плановости. После прошлогоднего анализа MS06-040 и первого формального pentest'а стало очевидно: сканировать только когда что-то уже горит - плохая стратегия. Мы договорились с клиентом на ежеквартальный цикл: плановое сканирование, отчёт, приоритизация, контроль закрытия. Март - первый цикл в рамках этой договорённости.

Scope: 12 хостов - серверный сегмент плюс несколько ключевых рабочих станций. Не вся сеть, именно те узлы, которые клиент считает критическими для бизнеса. Сканирование в пятницу вечером, чтобы минимизировать влияние на работу.

Что нашёл Nessus. Отчёт вышел на несколько десятков строк, но если убрать info-уровень и low-риски - картина структурируется:

  • Три критических - и все три требовали немедленной реакции.
  • Несколько medium - старые версии сервисов, небезопасные конфигурации SSL, открытые порты без явной необходимости.
  • Info и low - для фона, смотрим в динамике между циклами.

MS06-040 на двух серверах - это сильно. Уязвимость в Server Service, позволяющая удалённое выполнение кода без аутентификации. Мы её разбирали ещё в августе прошлого года. Патч Microsoft выпустил в том же августе. И вот март следующего года - два сервера без патча. Один из них - файловый сервер с достаточно широким доступом из сети.

Причина не загадочная: патч прилетел летом, в суматохе его применили не везде, а проверки не было. Стандартная история для инфраструктуры без формального patch management'а. Сервера работали, никаких видимых проблем не было - и никто не торопился.

Третья критическая находка - открытый anonymous FTP на одном из серверов с записью в директорию. Судя по всему, кто-то настраивал временный обменник для подрядчика и не убрал за собой. Классика.

Что делали дальше. По MS06-040 - патч в тот же вечер, оба сервера, перезагрузка, повторная проверка плагином. Не «запланировать на следующую неделю», а именно в тот же вечер - потому что уязвимость критическая и публично известная больше полугода. FTP - отключение сервиса, проверка других хостов на предмет аналогичного. Medium-риски - в задачи с дедлайном две недели.

Наблюдение по итогам первого цикла. Плановый аудит и аудит «по поводу» дают принципиально разный результат. Когда сканируешь потому что «случилось» - ищешь конкретную проблему и вокруг неё. Когда сканируешь по расписанию - видишь накопившийся технический долг. MS06-040, висящий семь месяцев, - это не халтура. Это нормальное состояние инфраструктуры без периодического внешнего взгляда.

Ещё один момент: Nessus хорош как первый слой, но не как единственный. Он нашёл незакрытые патчи и открытый FTP отлично. Но конфигурационные проблемы - неправильные права, слабые политики паролей, избыточные привилегии - требуют отдельного ручного прохода. Инструмент видит то, что торчит снаружи; то, что спрятано внутри логики - не видит.

Что ввели как стандарт. Ежеквартальное сканирование уязвимостей как часть аудита - теперь это не разовая история, а зафиксированная услуга с понятным циклом: скан, отчёт, план устранения, контрольная проверка. Первый цикл показал, что даже небольшая инфраструктура держит сюрпризы.

Следующий запуск - в июне. Посмотрим, что останется из medium-рисков и что нового успеет появиться.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.