CVE-Vulnerability-Information-Downloader – Công cụ Tải thông tin từ NIST (CVSS), First.Org (EPSS) và CISA (Lỗ hổng bị khai thác) và Kết hợp chúng thành một danh sách

Lịch Khai Giảng CEH, CHFI, CPENT,PENTEST+

Khóa học PENTESTING VỚI KALI LINUX trên UDEMY (giảm giá 70% khi đăng kí từ link sau)

Có thể bản quan tâm

• Hệ thống chấm điểm lỗ hổng chung (CVSS) là một tiêu chuẩn công nghiệp mở và miễn phí để đánh giá mức độ nghiêm trọng của các lỗ hổng bảo mật hệ thống máy tính.
• Hệ thống chấm điểm dự đoán khai thác (EPSS) ước tính khả năng một lỗ hổng phần mềm sẽ bị khai thác trongthực tế.
• CISA là nơi công bố danh sách các lỗ hổng bị khai thác đã biết.

CVE-Vulnerability-Information-Downloader tải xuống thông tin từ ba nguồn và kết hợp chúng thành một danh sách. Các ứng dụng scanner thường hiển thị số CVE và điểm CVSS, nhưng thường không xuất đầy đủ các chi tiết như “điểm khả năng khai thác” hoặc “Yêu cầu tương tác người dùng”. Bằng cách thêm điểm số EPSS, bạn sẽ có nhiều tùy chọn hơn để xác định việc cần làm trước và lọc theo các ngưỡng phù hợp với môi trường của mình .
Các bạn cũng có thể sử dụng thông tin từ trình tải về để làm phong phú thêm dữ liệu được cung cấp từ trình quét lỗ hổng của mình như OpenVAS nhằm ưu tiên khắc phục.
Hoặc có thể sử dụng các công cụ như PowerBI để kết hợp kết quả từ trình quét lỗ hổng với thông tin được tải xuống bởi tập lệnh trong kho lưu trữ.

Sau khi tải xuống, thông tin cần thiết sẽ được trích xuất, định dạng và các tệp đầu ra sẽ được tạo.
CVSS, EPSS và một tệp kết hợp của tất cả thông tin CVE sẽ có sẵn. Đầu ra có sẵn ở định dạng json và csv.
Ngoài ra, thông tin được nhập vào cơ sở dữ liệu sqlite. Mục tiêu không phải là hiệu suất hay hiệu quả. Thay vào đó kịch bản được viết một cách đơn giản. Nhiều bước được thực hiện để dễ hiểu và dễ theo dõi hơn. Các tệp từ các bước trung gian được ghi vào đĩa để cho phép bạn điều chỉnh các lệnh theo nhu cầu của mình dễ dàng hơn.
Ứng dụng dùng bash, jq và sqlite3 để rất thân thiện với người mới bắt đầu.

Bảng điều khiển ví dụ về PowerBI

Kho lưu trữ này chứa một thư mục demo với tệp mẫu PowerBI. Nó tạo ra một bảng điều khiển mà bạn có thể điều chỉnh theo nhu cầu của mình.

Báo cáo OpenVAS phải ở định dạng csv để quá trình nhập hoạt động.

PowerBI sẽ sử dụng tệp CVE.json đã tạo và tạo mối quan hệ:

Bạn có thể tải xuống PowerBI miễn phí từ https://aka.ms/pbiSingleInstaller và bạn không cần tài khoản Microsoft để sử dụng.

Cấu hình

1. Nhận khóa API NIST: https://nvd.nist.gov/developers/request-an-api-key
2. cp env_example .env
3. chỉnh sửa tệp .env và thêm khóa API của bạn
4. tùy chọn: chỉnh sửa tệp soạn thảo docker và điều chỉnh lịch trình cron
5. tùy chọn: chỉnh sửa dữ liệu/lỗ hổng-bảng-logstash/config/logstash.conf
6. docker-compose up -d
7. bạn sẽ tìm thấy các tệp trong data/vulnerability-tables-cron/output/ sau khi hoàn thành tập lệnh. Nó cần vài phút.

Chạy

Bạn có thể đợi cron thực thi tập lệnh tải xuống theo lịch trình.
Ngoài ra, bạn có thể thực thi tập lệnh tải xuống theo cách thủ công bằng cách chạy:

docker exec -it vulnerability-tables-cron bash /opt/scripts/download.sh

Mô tả vùng chứa

Có ba container docker.
Bộ chứa cron tải xuống thông tin mỗi tuần một lần (06:00 Thứ Hai) và lưu trữ các tệp trong thư mục đầu ra.
Nó sử dụng curl và wget để tải xuống các tệp. jq được sử dụng làm việc với json.

Bộ chứa filebeat đọc các tệp json và chuyển tiếp nó tới bộ chứa logstash.
Bộ chứa logstash có thể được sử dụng để gửi tới phiên bản OpenSearch, tải phiên bản đó lên Azure Log Analytics hoặc các đầu ra được hỗ trợ khác.
Filebeat và logstash là tùy chọn và chỉ được bao gồm để tiếp tục.

Tệp đầu ra mẫu

Một số tệp đầu ra sẽ được tạo. Đây là một ước tính:

316K   CISA_known_exploited.csv452K   CISA_known_exploited.json50M    CVSS.csv179M   CVSS.json206M   CVE.json56M    CVE.csv6.7M   EPSS.csv12M    EPSS.json49M    database.sqlite

Bạn có thể trích xuất thông tin cho mọi CVE:

grep -i 'CVE-2021-44228' CVE.json | jq{  "CVE": "CVE-2021-44228",  "CVSS2_accessComplexity": "AV:N/AC:M/Au:N/C:C/I:C/A:C",  "CVSS2_accessVector": "NETWORK",  "CVSS2_authentication": "MEDIUM",  "CVSS2_availabilityImpact": "NONE",  "CVSS2_baseScore": "COMPLETE",  "CVSS2_baseSeverity": "COMPLETE",  "CVSS2_confidentialityImpact": "COMPLETE",  "CVSS2_exploitabilityScore": "9.3",  "CVSS2_impactScore": "null",  "CVSS2_integrityImpact": "8.6",  "CVSS2_vectorString": "10",  "CVSS3_attackComplexity": "null",  "CVSS3_attackVector": "null",  "CVSS3_availabilityImpact": "null",  "CVSS3_baseScore": "null",  "CVSS3_baseSeverity": "null",  "CVSS3_confidentialityImpact": "null",  "CVSS3_exploitabilityScore": "null",  "CVSS3_impactScore": "null",  "CVSS3_integrityImpact": "null",  "CVSS3_privilegesRequired": "null",  "CVSS3_scope": "null",  "CVSS3_userInteraction   ": "null",  "CVSS3_vectorString": "null",  "CVSS3_acInsufInfo": "null",  "CVSS3_obtainAllPrivilege": "null",  "CVSS3_obtainUserPrivilege": "null",  "CVSS3_obtainOtherPrivilege": "null",  "CVSS3_userInteractionRequired": "null",  "EPSS": "0.97095",  "EPSS_Percentile": "0.99998",  "CISA_dateAdded": "2021-12-10",  "CISA_RequiredAction": "For all affected software assets for which updates exist, the only acceptable remediation actions are: 1) Apply updates; OR 2) remove affected assets from agency networks. Temporary mitigations using one of the measures provided at https://www.cisa.gov/uscert/ed-22-02-apache-log4j-recommended-mitigation-measures are only acceptable until updates are available."}

liên kết tham khảo

• https://www.first.org/epss/user-guide
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog
• https://nvd.nist.gov/developers/vulnerabilities

Tải xuống CVE-Vulnerability-Information-Downloader

KitSploit – CEHACK