Разработчики: | Rapid7 |
Дата последнего релиза: | 2020/10/26 |
Технологии: | Network Health Monitoring - Мониторинг сети или управление здоровьем-производительностью ИТ-Инфраструктуры, ИБ - Межсетевые экраны |
Содержание |
Основная статья: Межсетевой экран (Firewall)
Nexpose - универсальный сканер уязвимостей от компании Rapid7.
2020: Выявление уязвимости, позволяющей получать неавторизованный доступ к ресурсам и данным
Positive Technologies сообщила 26 октября 2020 года о том, что ее эксперт Михаил Ключников выявил уязвимость в продукте Rapid7 Nexpose, которая позволяет злоумышленникам c низкими привилегиями в системе получать неавторизованный доступ к ресурсам и данным. Уязвимость присутствует в компонентах Security Console версии 6.6.48 и ниже.
Продукт Nexpose — это инструмент для управления уязвимостями, который позволяет компаниям оперативно выявлять бреши в защите их инфраструктуры.
Уязвимость CVE-2020-7383 позволяет провести атаку типа «внедрение SQL-кода», в результате чего авторизованный злоумышленник может получить доступ к некоторым данным, хранящимся в базе данных. Они могут включать в себя информацию о найденных уязвимостях, проведенных сканированиях, политиках. Также используя внедрение SQL-кода атакующий может проводить DDoS-атаки на базу данных, что приводит к нарушению нормальной работы веб-интерфейса.
Данная уязвимость позволяет авторизованному злоумышленнику получить доступ к некоторым данным, хранящимся в базе данных, изменять их или добавлять записи, — рассказывает Михаил Ключников. — Причем эксплуатировать ошибку можно даже обладая низкими привилегиями в системе — это позволит получить доступ к данным, которые не должны видеть пользователи с таким уровнем прав. |
Уязвимость получила оценку 6,5, что соответствует среднему уровню опасности. Разработчик продукта Nexpose, компания Rapid7, опубликовала обновления, в которых ошибка исправлена.
2016: Rapid7 Nexpose прошел аттестацию на соответствие требованиям ФСТЭК
По итогам испытаний компания Rapid7 получила сертификат соответствия №3550, подтверждающий, что программное обеспечение Rapid7 Nexpose соответствует требованиям технических условий и является программным средством анализа защищённости информации, не содержащей сведений, составляющих государственную тайну.
Решение Rapid7 Nexpose предназначено для защиты информации, и может применяться организациями для сканирования уязвимостей и принятия обоснованных решений по управлению рисками, обеспечивая соответствие своих информационных систем требованиям регуляторов.
2015
Проверка ФСТЭК РФ
27 октября 2015 года стало известно о решении Федеральная служба по техническому и экспортному контролю (ФСТЭК России) от 11 июня 2015 года о проведении сертификации партии программного обеспечения Rapid7 Nexpose.
Сертификационные испытания ПО Rapid7 Nexpose предстоит провести на соответствие требованиям технических условий, основное из которых - требование к обнаружению уязвимостей в различном программном обеспечении. Сертификационные испытания проведет испытательная лаборатория ЗАО "НПО "Эшелон", аккредитованная ФСТЭК России.
Александр Барабанов, директор департамента сертификации и тестирования ЗАО "НПО "Эшелон",отметил: "Около 10% продуктов по информационной безопасности, представленных на территории России, прошли сертификацию ФСТЭК. Решение о подаче сканера уязвимостей Rapid7 Nexpose на сертификацию, принятое разработчиком, позволит ему продемонстрировать соответствие своего продукта требованиям ФСТЭК России и этим повысить к нему доверие со стороны российского рынка информационных технологий. При успешном завершении сертификации конечные пользователи продукта смогут обеспечить соответствие своих информационных систем требованиям регуляторов".
Возможности Nexpose
Существуют различные вариации продукта Nexpose, ориентированные на различные компании. Бесплатная версия продукта рассчитана на небольшие компании или частное пользование (до 32 ip-адресов).
Возможности системы
- Сканирование сети и операционных систем
- Более 54500 различных проверок из базы 14000+ уязвимостей;
- Низкий уровень ложных срабатываний;
- Высокая скорость сканирования;
- Возможность проводить безопасные проверки, без нарушения работы сети;
- Обнаружение уязвимостей, в зависимости от установленной операционной системы (ОС);
- Обнаружение уязвимостей на основании установленных обновлений ОС;
- Сканирование уязвимостей большого количества ПО и оборудования: Windows, Unix, Cisco, Adobe и др.
- Сканирование WEB приложений
- Проверки SQL Injection, Directory Traversal, Parameter Manipulation
- Анализ JavaScript (эмуляция веб браузера);
- Выявление всех видов XSS уязвимостей, включая DOM XSS.
- Сканирование баз данных
- Аудит баз данных для обнаружения брешей в защите, в том числе вызванных неправильной настройкой;
- Большой спектр проверяемых баз данных: Oracle, IBM, PostgreSQL, Sybase, Microsoft, Informix, MySQL.
Скриншот окна приложения (2014)
- Технология NeXpose Expert System
- Построение цепочек уязвимостей;
- Глубокое сканирование;
- Нахождение скрытых уязвимостей;
- Подтверждение наличия эксплойта для уязвимости.
План устранения уязвимостей
- NeXpose использует элементы искусственного интеллекта для классификации рисков, для принятия обоснованных решений и сосредоточения ресурсов на ликвидацию наиболее критических уязвимостей;
- NeXpose генерирует план устранения уязвимостей, основанный на уровне риска.
- Мощная система отчетов
- Преднастроенные шаблоны с различной детализацией для технических специалистов, менеджеров и членов правления;
- Настройка отчета по шаблону пользователя;
- Экспорт в популярные форматы;
- Простота управления
- Интуитивно понятный веб-интерфейс Nexpose (Rapid7)
- Гибкая настройка интерфейса в соответствии с требованиями (PCI DSS, HIPA, FISMA, SOX 404, GBLA);
- Централизованное управление;
- Автоматизация рабочего процесса: выполнение заданий по расписанию, уведомление пользователей, генерация и рассылка отчета.
Скриншот окна приложения (2014)
- Расширяемая архитектура
- Клиент-серверная архитектура, позволяет работать с NeXpose как в малых так и в крупных компаниях;
- Поставляется в нескольких вариантах исполнения - как программа, или как аппаратное устройство;
- Открытый и описанный API для интеграции с другими продуктами;
- Автоматизация рабочего процесса: выполнение заданий по расписанию, уведомление пользователей, генерация и рассылка отчета.
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (41)
Другие (1203)
Смарт-Софт (Smart-Soft) (5)
Национальный аттестационный центр (НАЦ) (4)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
TUV Austria (2)
Сторм системс (StormWall) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 170)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (720, 500)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
BI.Zone (Безопасная Информационная Зона, Бизон) (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Лаборатория Касперского (Kaspersky) (1, 3)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
А-Реал Консалтинг (1, 2)
Check Point Software Technologies (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
А-Реал Консалтинг (2, 3)
Вебмониторэкс (ранее WebmonitorX) (1, 2)
Другие (7, 8)
Распределение систем по количеству проектов, не включая партнерские решения
Kaspersky Endpoint Security - 82
ESET NOD32 Business Edition - 51
Dr.Web Enterprise Security Suite - 35
Kaspersky Enterprise Space Security - 34
MaxPatrol SIEM - 33
Другие 673
Смарт-софт: Traffic Inspector Next Generation - 5
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4
Ngenix Облачная платформа - 2
StormWall: Многоуровневая распределенная система фильтрации - 2
Trend Micro: Deep Discovery - 2
Другие 16
Kaspersky Endpoint Security - 3
Solar JSOC - 3
А-Реал Консалтинг: Интернет-шлюз ИКС - 3
Solar MSS - 3
А-Реал Консалтинг: Межсетевой экран ИКС - 2
Другие 20
Подрядчики-лидеры по количеству проектов
Глобус-телеком (17)
Softline (Софтлайн) (11)
NetWrix Corporation (8)
Т1 Интеграция (ранее Техносерв) (8)
Инфосистемы Джет (7)
Другие (199)
Инфосистемы Джет (2)
Крок (2)
CDW Government (1)
Factor Group (Фактор Груп) (1)
Hikvision Russia (1)
Другие (9)