脆弱性

脆弱性タブについて

脆弱性タブではグループ内で検知した脆弱性の一覧が表示されます。 対応判断(トリアージ)にてよく参照する項目を抽出し表形式で表示し、ソートやフィルタ機能を用いて高リスクな脆弱性をタスク登録したり、低リスクな脆弱性を非表示にしたりできます。 画面上で複数選択し、選択したタスクを一括で更新できるような画面構成のため、効率的にトリアージ作業が行えます。

脆弱性一覧

脆弱性一覧では、検知された脆弱性を一覧でみることができます。 image.png

項目 詳細 更新のタイミング
CVE ID 検知された脆弱性のCVE ID。 スキャン時
深刻度 脆弱性の深刻度。CVSS v3の値を元に、 Critical High Low None で表示。 DB情報変化時
サマリ 脆弱性のサマリ。言語設定が ja の場合は、JVNのサマリが優先的に表示される。 DB情報変化時
CVSS v2 CVSSv2のスコアの中で最大のもの。 DB情報変化時
CVSS v3 CVSSv3のスコアの中で最大のもの。 DB情報変化時
NVD NVD v3のスコアが表示される。 DB情報変化時
JVN JVN v3のスコアが表示される。 DB情報変化時
Red Hat Red Hat v3のスコアが表示される。 DB情報変化時
Microsoft Microsoft v3のスコアが表示される。 DB情報変化時
アドバイザリID CVE IDに紐づいているアドバイザリIDが表示される。 (Windowsの場合はKBID) DB情報変化時
NWから攻撃可能 CVSSメトリックのうち、AV(Attack Vector)がNetworkであるかどうか。 DB情報変化時
権限なしで攻撃可能 CVSSメトリックのうち、Au(Access Complexity)か、PR(Privileges Required)が不要であるかどうか。 DB情報変化時
EPSS Score(%) EPSS Score を0~100%で表示したもの。値が大きいほど高い脅威度である。 DB情報変化時
攻撃コードあり 攻撃コードやPoCが公開されているかどうか。 DB情報変化時
Danger 脆弱性にDangerフラグが設定されているか表示。 Dangerフラグ更新時
プロセス実行中 関連するプロセスがサーバ上で起動中、ポートを開いてListenしているかどうか。 スキャン時
緩和策/回避策 Red Hat,Microsoftのデータソースに緩和策、回避策があるかどうか。 DB情報変化時
警戒情報 CISA-KEV、JPCERT/CC-Alerts、US-CERT-Alertsから警戒情報が公開されているかどうか。
CISA-KEVに該当する:警戒情報あり(致命的)
JPCERT/CC-Alerts、US-CERT-Alertsに警戒情報がある:警戒情報あり(注意)
DB情報変化時
パッチ提供 関連する脆弱なソフトウェアにパッチが提供されているかどうか。
✓:関連するすべてのソフトウェアに有効なパッチが公開されている。
☓:関連するすべてのソフトウェアに現時点でパッチが提供されていない。
△:関連する複数ソフトウェアのうち、パッチ提供済みと未提供が混在している。
❔:関連するソフトウェアのうち、パッチ提供が不明なものが存在する。
DB情報変化時
OWASP TOP10か OWASP TOP10に該当する脆弱性かどうか。 DB情報変化時
全タスク数 脆弱性に紐づくタスクの総数。 スキャン時
未対応タスク数 脆弱性に紐づいているタスクのうち、スタータスが「NEW」かつ、非表示設定がないものの数。 スキャン時、タスク更新
対応中タスク数 脆弱性に紐づいているタスクのうち、スタータスが「INVESTIGATING」「ONGOING」「DEFER」かつ、非表示設定がないものの数。 スキャン時、タスク更新
対応済タスク数 脆弱性に紐づいているタスクのうち、スタータスが「NEW」「INVESTIGATING」「ONGOING」「DEFER」でないもの、もしくは非表示設定のものの数。 スキャン時、タスク更新
CloudOneステータス CloudOne連携のステータス。 スキャン時
警戒タグ 脆弱性に登録されているスペシャル警戒タグ 警戒タグ更新時
トピックカウント 脆弱性に登録されているトピックの数。 トピック更新
初回検知日時 該当グループ内でそのCVEが初めて検知された日時。 スキャン時
最新検知日時 該当グループ内でそのCVEが検知された最新の日付。 スキャン時
ベクター・スコア更新日時 CVSSベクターかスコアが更新された日時、またはその脆弱性が初めて検知された日時。 スキャン時
トピック最新更新日時 そのCVEに対するトピックが登録・更新された最新の日次。 トピック更新
Immediateな未対応タスク数 脆弱性に紐づいているタスクのうち、SSVC PriorityがImmediateかつ、スタータスが「NEW」かつ、非表示設定がないものの数。 スキャン時
Out of Cycleな未対応タスク数 脆弱性に紐づいているタスクのうち、SSVC PriorityがOutOfCycleかつ、スタータスが「NEW」かつ、非表示設定がないものの数。 スキャン時
SSVC最高優先度 脆弱性に紐づいているタスクのSSVC Priorityで優先度がもっとも高いもの スキャン時
SSVC最新更新日時 脆弱性に紐づいているタスクのSSVC Priorityが更新された最新の日付 スキャン時

サブタブ

脆弱性一覧では、関連するタスクのステータスごとに表示を切り替えるタブが用意されています。

image.png

  • SSVC高優先度
    • 関連するタスクのSSVC最高優先度が Immediate または OutOfCycle である脆弱性
    • グループセット(CSIRTプラン)にのみ表示
  • 重要な未対応
  • その他の未対応
  • 対応中
    • すべての関連するタスクのステータスが ONGOING または INVESTIGATING である脆弱性
  • 保留中
    • すべての関連するタスクのステータスが DEFER である脆弱性
  • 対応済み
    • すべての関連するタスクが 非表示 に設定された脆弱性
    • すべての関連するタスクのステータスが WORKAROUNDNOT_AFFECTEDRISK_ACCEPTEDPATCH_APPLIED である脆弱性
  • すべて
    • 検知されたすべての脆弱性を表示

指定した脆弱性に関連するタスクを非表示

複数の脆弱性を選択して、その脆弱性に関連するすべてのサーバのタスクを非表示にできます。

image.png

指定した脆弱性に関連するタスクを更新

複数の脆弱性を選択して、その脆弱性に関連するすべてのサーバのタスクを更新できます。

image.png

「重要な未対応」の条件

リスクが高いと判断する脆弱性の条件を事前に設定し、条件に該当する脆弱性が新たに検知された際に、「重要な未対応」タブに振り分けることで優先的に対応できるようになります。

「重要な未対応」の条件確認ボタンから設定されている条件を確認できます。 image.png

重要フィルタ項目

  • CVSSスコア
    • or条件で判断されます。
    • Red HatとMicrosoftはCVSS v2, v3の大きいほうのスコアを採用します。
  • CVSS Base Metrics
    • and条件で判断されます。
    • 各データソースのCVSSv3のメトリクスの内、1つでも該当すれば採用されます。例えば、ネットワークから攻撃可能かのAVが以下であれば、AV:Nとして判断します。
  • 公開されている警戒情報の深刻度
    • 脆弱性の警戒情報によって「重要な未対応」タブに振り分けるかを選択します。
    • 選択肢は以下の3つです。
      • CISA-KEVから警戒情報が出ている脆弱性のみ「重要な未対応」タブに振り分ける
      • CISA-KEV, JPCERT/CC-Alerts, US-CERT-Alertsから警戒情報が出ている脆弱性のみ「重要な未対応」タブに振り分ける
      • 未設定(警戒情報の有無に関わらず「重要な未対応」タブに振り分ける)
  • 検出方法の信頼度が低い脆弱性
    • 検出方法の信頼性が低い脆弱性を「重要な未対応」タブに振り分けるかを選択します。
  • SSVC Priority
    • or条件で判断されます。
    • SSVC Priorityによって、「重要な未対応」タブに振り分けるかを選択します。

また、Danger指定されている脆弱性は強制的に「重要な未対応」となります。

脆弱性第2ペイン

脆弱性一覧の項目をクリックすると、第2ペインが現れます。

image.png

詳細タブ

詳細タブでは脆弱性の詳細を確認できます。

image.png

脆弱性詳細では、以下の項目が表示されます。

項目 詳細
サマリ NVD,JVN,Redhat,Microsoftなどの脆弱性DBの説明と、スコアを表示
CVSS 各脆弱性DBのベクターを分解したCVSS(v2,v3)のメトリクスを詳細に表示
EPSS EPSSのスコア・パーセンタイル、および「CVEdetails」へのリンクを表示
攻撃コード 攻撃コードが見つかった場合、リンクと説明を表示
警戒情報 CISA-KEV、JPCERT/CC-Alerts、US-CERT-Alertsの警戒情報が見つかった場合、リンクを表示
CWE 脆弱性に関するCWEを表示
ディストリビューションサポートページ 各ディストリビューションが出している、公式の脆弱性情報ページを表示
Reference 脆弱性に関するリファレンスを表示

CVSSスコアの再計算

CVSSの下にある「CVSSスコアの再計算」をクリックすると再計算用のページが開きます。
現状値を評価したスコアと、現状値と環境値を評価したスコアが表示されます。

image.png

また、攻撃コードが公開されている脆弱性の場合は、「現状評価基準」>攻撃される可能性に赤枠でヒントが表示されます。

image.png

EPSS

EPSSはスコア(Score)とパーセンタイル(Percentile)により構成されます。 それぞれの値の意味は以下の通りです。

項目 詳細
スコア 今後30日間でその脆弱性が悪用される確率を表します。値が大きいほど悪用される確率が高く、脅威のある脆弱性となります。
パーセンタイル EPSSスコアが対象のそれより低い脆弱性の割合を表します。値が大きいほどこの脆弱性が上位の脅威度を持つことを意味します。

EPSSの基本的な概念やデータ分布に関する情報については、こちらの「ブログ記事」などをご参照ください。

トピック

FutureVulsでは、各脆弱性にトピックを作成して、グループ内、オーガニゼーション内で調査結果やコメントの共有ができます。

トピックの詳細についてはこちらをご覧ください。

タスク×サーバ

選択した脆弱性に関連するタスクとサーバが表示されます。
未対応 または 対応中 のタスクのみ表示され、対応済みや非表示にしたタスクは表示されません。

ソフトウェア

選択した脆弱性が関連するサーバにインストールされているソフトウェアをすべて表示できます。