| Разработчики: | Rapid7 |
| Дата последнего релиза: | 2020/10/26 |
| Технологии: | Network Health Monitoring - Мониторинг сети или управление здоровьем-производительностью ИТ-Инфраструктуры, ИБ - Межсетевые экраны |
Содержание |
Основная статья: Межсетевой экран (Firewall)
Nexpose - универсальный сканер уязвимостей от компании Rapid7.
2020: Выявление уязвимости, позволяющей получать неавторизованный доступ к ресурсам и данным
Positive Technologies сообщила 26 октября 2020 года о том, что ее эксперт Михаил Ключников выявил уязвимость в продукте Rapid7 Nexpose, которая позволяет злоумышленникам c низкими привилегиями в системе получать неавторизованный доступ к ресурсам и данным. Уязвимость присутствует в компонентах Security Console версии 6.6.48 и ниже.
Продукт Nexpose — это инструмент для управления уязвимостями, который позволяет компаниям оперативно выявлять бреши в защите их инфраструктуры.
Уязвимость CVE-2020-7383 позволяет провести атаку типа «внедрение SQL-кода», в результате чего авторизованный злоумышленник может получить доступ к некоторым данным, хранящимся в базе данных. Они могут включать в себя информацию о найденных уязвимостях, проведенных сканированиях, политиках. Также используя внедрение SQL-кода атакующий может проводить DDoS-атаки на базу данных, что приводит к нарушению нормальной работы веб-интерфейса.
 | Данная уязвимость позволяет авторизованному злоумышленнику получить доступ к некоторым данным, хранящимся в базе данных, изменять их или добавлять записи, — рассказывает Михаил Ключников. — Причем эксплуатировать ошибку можно даже обладая низкими привилегиями в системе — это позволит получить доступ к данным, которые не должны видеть пользователи с таким уровнем прав. |  |
Уязвимость получила оценку 6,5, что соответствует среднему уровню опасности. Разработчик продукта Nexpose, компания Rapid7, опубликовала обновления, в которых ошибка исправлена.
2016: Rapid7 Nexpose прошел аттестацию на соответствие требованиям ФСТЭК
По итогам испытаний компания Rapid7 получила сертификат соответствия №3550, подтверждающий, что программное обеспечение Rapid7 Nexpose соответствует требованиям технических условий и является программным средством анализа защищённости информации, не содержащей сведений, составляющих государственную тайну.
Решение Rapid7 Nexpose предназначено для защиты информации, и может применяться организациями для сканирования уязвимостей и принятия обоснованных решений по управлению рисками, обеспечивая соответствие своих информационных систем требованиям регуляторов.
2015
Проверка ФСТЭК РФ
27 октября 2015 года стало известно о решении Федеральная служба по техническому и экспортному контролю (ФСТЭК России) от 11 июня 2015 года о проведении сертификации партии программного обеспечения Rapid7 Nexpose.
Сертификационные испытания ПО Rapid7 Nexpose предстоит провести на соответствие требованиям технических условий, основное из которых - требование к обнаружению уязвимостей в различном программном обеспечении. Сертификационные испытания проведет испытательная лаборатория ЗАО "НПО "Эшелон", аккредитованная ФСТЭК России.
Александр Барабанов, директор департамента сертификации и тестирования ЗАО "НПО "Эшелон",отметил: "Около 10% продуктов по информационной безопасности, представленных на территории России, прошли сертификацию ФСТЭК. Решение о подаче сканера уязвимостей Rapid7 Nexpose на сертификацию, принятое разработчиком, позволит ему продемонстрировать соответствие своего продукта требованиям ФСТЭК России и этим повысить к нему доверие со стороны российского рынка информационных технологий. При успешном завершении сертификации конечные пользователи продукта смогут обеспечить соответствие своих информационных систем требованиям регуляторов".
Возможности Nexpose
Существуют различные вариации продукта Nexpose, ориентированные на различные компании. Бесплатная версия продукта рассчитана на небольшие компании или частное пользование (до 32 ip-адресов).
Возможности системы
- Сканирование сети и операционных систем
- Более 54500 различных проверок из базы 14000+ уязвимостей;
- Низкий уровень ложных срабатываний;
- Высокая скорость сканирования;
- Возможность проводить безопасные проверки, без нарушения работы сети;
- Обнаружение уязвимостей, в зависимости от установленной операционной системы (ОС);
- Обнаружение уязвимостей на основании установленных обновлений ОС;
- Сканирование уязвимостей большого количества ПО и оборудования: Windows, Unix, Cisco, Adobe и др.
- Сканирование WEB приложений
- Проверки SQL Injection, Directory Traversal, Parameter Manipulation
- Анализ JavaScript (эмуляция веб браузера);
- Выявление всех видов XSS уязвимостей, включая DOM XSS.
- Сканирование баз данных
- Аудит баз данных для обнаружения брешей в защите, в том числе вызванных неправильной настройкой;
- Большой спектр проверяемых баз данных: Oracle, IBM, PostgreSQL, Sybase, Microsoft, Informix, MySQL.
Скриншот окна приложения (2014)
- Технология NeXpose Expert System
- Построение цепочек уязвимостей;
- Глубокое сканирование;
- Нахождение скрытых уязвимостей;
- Подтверждение наличия эксплойта для уязвимости.
План устранения уязвимостей
- NeXpose использует элементы искусственного интеллекта для классификации рисков, для принятия обоснованных решений и сосредоточения ресурсов на ликвидацию наиболее критических уязвимостей;
- NeXpose генерирует план устранения уязвимостей, основанный на уровне риска.
- Мощная система отчетов
- Преднастроенные шаблоны с различной детализацией для технических специалистов, менеджеров и членов правления;
- Настройка отчета по шаблону пользователя;
- Экспорт в популярные форматы;
- Простота управления
- Интуитивно понятный веб-интерфейс Nexpose (Rapid7)
- Гибкая настройка интерфейса в соответствии с требованиями (PCI DSS, HIPA, FISMA, SOX 404, GBLA);
- Централизованное управление;
- Автоматизация рабочего процесса: выполнение заданий по расписанию, уведомление пользователей, генерация и рассылка отчета.
Скриншот окна приложения (2014)
- Расширяемая архитектура
- Клиент-серверная архитектура, позволяет работать с NeXpose как в малых так и в крупных компаниях;
- Поставляется в нескольких вариантах исполнения - как программа, или как аппаратное устройство;
- Открытый и описанный API для интеграции с другими продуктами;
- Автоматизация рабочего процесса: выполнение заданий по расписанию, уведомление пользователей, генерация и рассылка отчета.
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (147) Инфосистемы Джет (65) ESET (ИСЕТ Софтвеа) (65) ДиалогНаука (59) Positive Technologies (Позитив Текнолоджиз) (49) Другие (1305) UserGate, Юзергейт (ранее Entensys) (5) Инфосистемы Джет (5) Уральский центр систем безопасности (УЦСБ) (4) Национальный аттестационный центр (НАЦ) (3) Inspect (3) Другие (51) Уральский центр систем безопасности (УЦСБ) (6) Positive Technologies (Позитив Текнолоджиз) (5) ИВК (4) Инфосистемы Джет (4) Информзащита (3) Другие (63) Positive Technologies (Позитив Текнолоджиз) (9) UserGate, Юзергейт (ранее Entensys) (7) ВАС Экспертс (VAS Experts) (3) ITProtect (Инфозащита) (3) МСС Международная служба сертификации (3) Другие (80)Данные не найдены
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (23, 172) Positive Technologies (Позитив Текнолоджиз) (15, 83) ESET (ИСЕТ Софтвеа) (11, 79) Смарт-Софт (Smart-Soft) (5, 47) UserGate, Юзергейт (ранее Entensys) (21, 45) Другие (735, 543) UserGate, Юзергейт (ранее Entensys) (3, 8) Лаборатория Касперского (Kaspersky) (1, 3) Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3) А-Реал Консалтинг (1, 2) Check Point Software Technologies (1, 1) Другие (6, 6) UserGate, Юзергейт (ранее Entensys) (6, 10) Positive Technologies (Позитив Текнолоджиз) (4, 5) ИВК (1, 4) А-Реал Консалтинг (2, 3) Сторм системс (StormWall) (1, 3) Другие (7, 9) Positive Technologies (Позитив Текнолоджиз) (5, 14) UserGate, Юзергейт (ранее Entensys) (2, 5) Код Безопасности (2, 4) ВАС Экспертс (VAS Experts) (1, 4) Ideco (Айдеко) (1, 4) Другие (14, 20)Данные не найдены
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 83 ESET NOD32 Business Edition - 51 MaxPatrol SIEM - 43 Dr.Web Enterprise Security Suite - 35 Kaspersky Enterprise Space Security - 34 Другие 721 UserGate UTM - 4 Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3 UserGate C-серия Межсетевые экраны - 3 Kaspersky Endpoint Security - 3 А-Реал Консалтинг: Межсетевой экран ИКС - 2 Другие 8 ИВК Кольчуга - 4 UserGate Next-Generation Firewall (NGFW) - 3 А-Реал Консалтинг: Межсетевой экран ИКС - 3 StormWall: Многоуровневая распределенная система фильтрации - 3 UserGate UTM - 3 Другие 22 MaxPatrol SIEM - 9 VAS Experts: СКАТ DPI Система контроля и анализа трафика - 4 Код Безопасности: Континент NGFW (ранее АПКШ Континент) - 4 UserGate Next-Generation Firewall (NGFW) - 4 Ideco NGFW - 4 Другие 24 Подрядчики-лидеры по количеству проектов
Глобус-телеком (17) Softline (Софтлайн) (11) NetWrix Corporation (8) Т1 Интеграция (ранее Техносерв) (8) Инфосистемы Джет (8) Другие (212) Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1) TrafficSoft (НФВер, Траффик Софт) ранее NFWare (1) Нота (Холдинг Т1) (1) Другие (0) Nexign (Нэксайн) ранее Петер-Сервис (2) Лаборатория Числитель (2) Софтлайн Решения (2) Теком (1) Banks Soft Systems, BSS (Бэнкс Софт Системс, БСС) (1) Другие (3)Данные не найдены
