VulnCheck エクスプロイト&脆弱性インテリジェンスは、NIST National Vulnerability Database (NVD)、CISA KEVカタログなどをダウンロードするための別々のスクリプトを必要としません。VulnCheck エクスプロイト&脆弱性インテリジェンスを統合することで、脆弱性の悪用および脆弱性全般に関するクラス最高の情報をタイムリーに得ることができる、オープンソースインテリジェンス(OSINT)製品と統合されます。
最も重要なのは、他の純粋な脆弱性中心のソリューションとは異なり、VulnCheckはエクスプロイトインテリジェンスと脆弱性インテリジェンスを統合して提供する点です。エクスプロイトインテリジェンスと脆弱性インテリジェンスを組み合わせることで、脆弱性の優先順位付けと修正に関するより良い洞察が得られます。
悪用に関して、VulnCheck エクスプロイト&脆弱性インテリジェンスは、脆弱性の悪用状況を理解するのに役立つさまざまな機能を提供します。これには以下が含まれますが、これに限定されません。
VulnCheck APIは、VulnCheck エクスプロイト&脆弱性インテリジェンスの利用を簡単に開始できます。まず、次のようにexploitsインデックスに対して/v3/index/:index?cve=:cve APIをクエリします。
curl --request GET \
--url https://api.vulncheck.com/v3/index/exploits?cve=CVE-2019-3396 \
--header 'Accept: application/json' \
--header 'Authorization: Bearer insert_token_here'
package main
import (
"encoding/json"
"fmt"
"log"
"github.com/vulncheck-oss/sdk-go"
)
func main() {
client := sdk.Connect("https://api.vulncheck.com", "insert_token_here")
response, err := client.GetIndexExploits(sdk.IndexQueryParameters{
Cve: "CVE-2019-3396",
})
if err != nil {
panic(err)
}
prettyJSON, err := json.MarshalIndent(response.Data, "", " ")
if err != nil {
log.Fatalf("Failed to generate JSON: %v", err)
return
}
fmt.Println(string(prettyJSON))
}
import vulncheck_sdk
configuration = vulncheck_sdk.Configuration(host="https://api.vulncheck.com/v3")
configuration.api_key["Bearer"] = "insert_token_here"
with vulncheck_sdk.ApiClient(configuration) as api_client:
indices_client = vulncheck_sdk.IndicesApi(api_client)
api_response = indices_client.index_exploits_get(cve="CVE-2019-3396")
print(api_response.data)
vulncheck index browse exploits --cve CVE-2019-3396
上記の例は、エクスプロイトインデックスを検索してCVE-2019-3396に関する情報を取得します。
有効なCVE識別子を使用して/v3/index/exploits?cve=:cve APIエンドポイントを呼び出した後、次のようなレスポンスが返されます。
{
"_benchmark": 0.055187,
"_meta": {
"index": "exploits",
// ...
},
"data": [
{
"id": "CVE-2019-3396",
"public_exploit_found": true,
"commercial_exploit_found": true,
"weaponized_exploit_found": true,
"max_exploit_maturity": "weaponized",
"reported_exploited": true,
"reported_exploited_by_threat_actors": true,
"reported_exploited_by_ransomware": true,
"reported_exploited_by_botnets": true,
"inKEV": true,
"timeline": {
"nvd_published": "2019-03-25T19:29:00Z",
"nvd_last_modified": "2021-12-13T16:05:00Z",
"first_exploit_published": "2019-03-25T00:00:00Z",
"first_exploit_published_weaponized_or_higher": "2019-04-11T00:00:00Z",
"most_recent_exploit_published": "2021-05-01T02:10:04Z",
"first_reported_threat_actor": "2019-08-19T00:00:00Z",
"most_recent_reported_threat_actor": "2021-01-01T00:00:00Z",
"first_reported_ransomware": "2019-04-23T00:00:00Z",
"most_recent_reported_ransomware": "2022-06-22T00:00:00Z",
"first_reported_botnet": "2019-04-26T00:00:00Z",
"most_recent_reported_botnet": "2022-04-27T00:00:00Z",
"cisa_kev_date_added": "2021-11-03T00:00:00Z",
"cisa_kev_date_due": "2022-05-03T00:00:00Z"
},
"trending": {
"github": false
},
"epss": {
"epss_score": 0.97498,
"epss_percentile": 0.9996,
"last_modified": "2023-08-15T13:49:54.769353Z"
},
"counts": {
"exploits": 22,
"threat_actors": 3,
"botnets": 3,
"ransomware_families": 4
},
"exploits": [
{
"url": "https://packetstormsecurity.com/files/161065/Atlassian-Confluence-6.12.1-Template-Injection.html",
"name": "Atlassian Confluence 6.12.1 Template Injection",
"refsource": "packetstorm",
"date_added": "2021-01-22T00:00:00Z",
"exploit_maturity": "poc",
"exploit_availability": "publicly-available"
},
{
"url": "https://packetstormsecurity.com/files/152568/Atlassian-Confluence-Widget-Connector-Macro-Velocity-Template-Injection.html",
"name": "Atlassian Confluence Widget Connector Macro Velocity Template Injection",
"refsource": "packetstorm",
"date_added": "2019-04-18T00:00:00Z",
"exploit_maturity": "poc",
"exploit_availability": "publicly-available"
}
// ...
],
"reported_exploitation": [
{
"url": "https://cisa.gov/news-events/cybersecurity-advisories/aa21-209a",
"name": "Top Routinely Exploited Vulnerabilities",
"refsource": "cisa-alerts",
"date_added": "2021-08-20T00:00:00Z"
},
{
"url": "https://us-cert.cisa.gov/ncas/alerts/aa20-275a",
"name": "Potential for China Cyber Response to Heightened U.S.–China Tensions",
"refsource": "cisa-alerts",
"date_added": "2020-10-20T00:00:00Z"
}
// ...
]
}
]
}
上記の例のレスポンスは、
CVE-2019-3396に対してexploitsインデックスが返す内容を示しています
| 属性 | 意味 |
|---|---|
| id | CVE ID |
| public_exploit_found | 公開エクスプロイトが発見されました |
| commercial_exploit_found | 商用エクスプロイトが発見されました |
| weaponized_exploit_found | 武器化とは、エクスプロイトがマルウェア (悪意のある Microsoft Word ドキュメントなど) 内に含まれている場合、実際に悪用されていることが報告されている場合、または「ポイント アンド クリック」エクスプロイトを容易にする場合 (すべてまたはほとんどのターゲットに対して機能し、MetaSploit、VulnCheck Initial Access Intelligence、CANVAS、または Core Impact のエクスプロイトなど、確実に動作する場合など) など、明らかに悪意のあるエクスプロイトを指します。さらに、兵器化されたエクスプロイトには通常、二次的なペイロード、ドロッパー、またはインプラントが含まれます。 |
| reported_exploited | 報告された悪用が確認されており、この脆弱性は実際に悪用・悪用されることが知られています。 |
| reported_exploited_by_threat_actors | 攻撃者がこの脆弱性を持っていると考えられています。 |
| reported_exploited_by_ransomware | この脆弱性はランサムウェア キャンペーンに悪用されています。 |
| reported_exploited_by_botnets | 1 つ以上のボットネットがこの脆弱性の原因であると考えられています。 |
| inKEV | CISA KEV (悪用された既知の脆弱性) カタログに含まれています。 |
| inVCKEV | VulnCheck KEV (悪用された既知の脆弱性) カタログに含まれています。 |
| 最大エクスプロイト成熟度 | 意味 |
|---|---|
| Weaponized | 武器化済みとは、悪意のあるエクスプロイトを指します。例えば、マルウェア内に含まれるエクスプロイトや、実際に悪用されたことが報告されたもの、または「クリックするだけ」での悪用を容易にするもの(MetaSploit、VulnCheck Initial Access Intelligence、CANVAS、Core Impactなどで広く悪用できるもの)が該当します。通常、武器化されたエクスプロイトには、二次ペイロード、ドロッパー、またはインプラントが含まれます。 |
| POC | POC(概念実証)は、現在悪用を実証するために使用できるものを指します。これには、ブログ投稿、curlリクエスト、Pythonスクリプトなどが含まれます。 |
| 属性 | 意味 |
|---|---|
| nvd_published | NVD が脆弱性を公開したとき。 |
| nvd_last_modified | NVD が最後に脆弱性を変更したとき |
| first_exploit_published | 最初のエクスプロイトが公開されたとき |
| first_exploit_published_weaponized_or_higher | 最初の武器化されたエクスプロイトまたはエクスプロイトの証拠が入手可能になったとき。 |
| most_recent_exploit_published | 最後のエクスプロイトが公開されたとき |
| first_reported_threat_actor | 最初の攻撃者が報告されたとき |
| most_recent_reported_threat_actor | 最新の脅威アクターが報告された時期 |
| first_reported_ransomware | ランサムウェアが最初に報告されたとき |
| most_recent_reported_ransomware | ランサムウェアが最後に報告された時期 |
| first_reported_botnet | ボットネットが最初に報告されたとき |
| most_recent_reported_botnet | ボットネットが最後に報告された時期 |
| cisa_kev_date_added | CVE が CISA KEV に追加されたとき |
| cisa_kev_date_due | CISA KEV の期限 |
| vulncheck_kev_date_added | 最初に知られている悪用が報告されたとき |
* 証拠がない場合、またはヌルの日付が存在する場合、タイムライン属性は省略されます。
| 属性 | 意味 |
|---|---|
| epss_score | EPSS スコア |
| epss_precentile | EPSS パーセンタイル |
| 属性 | 意味 |
|---|---|
| exploits | 発見されたエクスプロイトの総数。 |
| threat_actors | 攻撃者の総数。 |
| botnets | 起因するボットネットの総数。 |
| ransomware | この脆弱性を利用したランサムウェア キャンペーンの総数。 |
VulnCheck エクスプロイト&脆弱性インテリジェンスは、インデックス化されたエクスプロイトのブロック内にエクスプロイトタイプフィールドを維持しています。このフィールドは、初期アクセスエクスプロイトのような高影響のエクスプロイトと、サービス拒否エクスプロイトのような低影響のエクスプロイトを区別するのに役立ちます。
| エクスプロイトタイプ | 意味 |
|---|---|
| Initial Access | 初期アクセスエクスプロイトは、通常最も高い影響を持つエクスプロイトです。これらの脆弱性は、リモートコード実行(RCE)脆弱性とも呼ばれ、リモートで実行され、悪用に資格情報を必要としないことが多いです。 |
| Remote with credentials | リモートで資格情報を必要とするエクスプロイトは、ネットワークに接続されたアプリケーションをターゲットにしますが、悪用には資格情報が必要です。 |
| Local | ローカルエクスプロイトの例には、Linuxのsetuidバイナリを対象とするものが含まれます。 |
| Client-side | クライアントサイドエクスプロイトの例には、Microsoft WordやExcelなどのクライアントアプリケーションを対象とするものがあります。 |
| Infoleak | 情報漏洩エクスプロイトは、ターゲットからデータを漏洩させますが、ターゲットの完全性には影響しません。 |
| Denial of Service | サービス拒否エクスプロイトは、通常、サービスやアプリケーションをクラッシュさせます。注: サービス拒否エクスプロイトは、初期アクセスエクスプロイトが投稿される前に、初期アクセス脆弱性を対象とすることが多いです。 |
上記の表は、現在利用可能なVulnCheck エクスプロイト&脆弱性インテリジェンスのエクスプロイトタイプを示しています。