A Cloudflare anunciou que concluiu o desenvolvimento de um scanner de vulnerabilidades de rede muito avançado, chamado Flan Scan, e com o qual todos nós podemos realizar varreduras de rede para verificar a segurança de nossos sistemas.
Entretanto, o Flan Scan é baseado no popular Nmap, permitindo que seja muito mais fácil de usar agora.
Além disso, o Flan Scan foi desenvolvido depois que o Cloudflare tentou usar vários scanners de rede para sua rede interna e estes falharam.
Antes de desenvolver o Cloudflare Flan Scan, eles pagaram um provedor de segurança e perceberam que os custos eram muito altos e metade das funções eram inúteis.
Depois, eles decidiram dispensar seu provedor de segurança e começar a usar um scanner de rede de código aberto, o popular Nmap, para controlar seus mais de 190 data centers.
Aconteceu que eles tiveram que realizar uma análise de segurança da Internet e viram que nenhum scanner de rede de código aberto atendia a seus requisitos, então decidiram desenvolver um scanner que funcionasse para a configuração e as necessidades do Cloudflare.
Porém, para projetar o Flan Scan, a Cloudflare trabalhou em estreita colaboração com seus auditores para entender quais requisitos eles precisavam da sua nova ferramenta de Flan Scan.
Características do scanner de vulnerabilidades Flan Scan
Alguns dos requisitos necessários para o Cloudflare era que ele pudesse detectar com precisão os serviços da rede Cloudflare e, além disso, procurava esses serviços em um banco de dados do CVE para encontrar vulnerabilidades para seus serviços.
Outro requisito importante é que ele deve ser fácil de implementar em toda a rede Cloudflare.
Depois de analisar as diferentes opções disponíveis, eles decidiram escolher o Nmap como um scanner de base, porque, segundo o Cloudflare, diferentemente de outros scanners de rede que sacrificam a precisão pela velocidade, o Nmap prioriza os serviços de detecção, reduzindo assim os falsos positivos.
Aliás, o Cloudflare também destaca o Nmap Scripting Engine (NSE), que permite executar scripts nos resultados da verificação. Eles também descobriram que o script “vulners”, disponível no NSE, mapeia os serviços detectados para CVEs relevantes em um banco de dados, exatamente o que o Cloudflare precisava.
O próximo passo que a Cloudflare teve que enfrentar foi facilitar a implementação do scanner e, ao mesmo tempo, tornar seus resultados processáveis.
Por isso, eles implementaram as seguintes características no scanner de vulnerabilidades Flan Scan:
- Fácil implementação e configuração: para isso, eles decidiram executar o Flan Scan dentro de um contêiner do Docker;
- Resultados na nuvem: o Flan Scan oferece suporte ao envio de resultados para o Google Cloud Storage Bucket ou S3;
- Relatórios processáveis: o Flan Scan gera relatórios processáveis a partir da saída do Nmap, para que você possa identificar rapidamente serviços vulneráveis em sua rede, CVEs aplicáveis e os endereços IP e portas onde esses serviços foram encontrados.
Como o Flan Scan melhorou a segurança da rede Cloudflare?
Os resultados do Flan Scan revelaram que os nós do FreeIPA usados pelo Cloudflare, para gerenciar usuários e hosts do Linux, estavam executando uma versão desatualizada do Apache com várias vulnerabilidades de gravidade média.
Como resultado dessa falha, uma atualização foi feita. O Cloudflare implementou recentemente o “osquery” em toda a sua rede para rastrear vulnerabilidades baseadas em host e complementá-lo com as varreduras de rede do Flan Scan.
Graças a esses dois rastreadores de vulnerabilidades, eles criaram uma ferramenta para gerenciar o número crescente de fontes de vulnerabilidade.
Contudo, a nova ferramenta desenvolvida a partir dos dados do “osquery” e do Flan Scan envia alertas sobre novas vulnerabilidades, filtra falsos positivos e rastreia as vulnerabilidades resolvidas.
Como o scanner de vulnerabilidades Flan Scan funciona?
Para usar o Flan Scan, a primeira coisa a fazer é executar um Nmap scan com detecção de serviço. A varredura Nmap padrão do Flan Scan executa as seguintes varreduras:
- Varredura de ping ICMP: O Nmap determina quais dos endereços IP fornecidos estão ativos;
- Varredura SYN: o Nmap varre as 1000 portas mais comuns dos endereços IP que responderam ao ping do ICMP. O Nmap também marca as portas como abertas, fechadas ou filtradas;
- Verificação de detecção de serviço: para detectar quais serviços estão sendo executados em portas abertas, o Nmap executa verificações de protocolo de link TCP;
- Outros tipos de varredura: como varredura UDP e endereços IPv6, também são possíveis com o Nmap. O Flan Scan permite que os usuários executem esses e outros recursos estendidos do Nmap.
O Flan Scan adiciona a tag de script “vulners” em seu comando Nmap padrão para incluir na saída uma lista de vulnerabilidades detectadas nos serviços detectados.
O script “vulners” funciona fazendo chamadas de API para um serviço executado pelo vulners.com que retorna qualquer vulnerabilidade conhecida ao serviço fornecido.
Na próxima etapa, o Flan Scan usa um script desenvolvido em Python para converter os arquivos XML estruturados da saída do Nmap em um relatório processável.
Os relatórios do scanner listam cada um dos endereços IP analisados e mostram as vulnerabilidades detectadas.
Os resultados do Flan Scan estão estruturados em torno dos serviços. O relatório lista todos os serviços vulneráveis com uma lista abaixo de cada uma das vulnerabilidades relevantes e todos os endereços IP que executam este serviço.
Considerações finais
Então, toda a tecnologia desenvolvida pela Cloudflare neste Flan Scan está disponível para todos.
De fato, isso permitirá que os administradores de rede e sistema verifiquem se há alguma vulnerabilidade em suas redes, como fez o Cloudflare.
Em suma, no projeto oficial do Fit Scan do GitHub, você encontrará todas as informações sobre esse novo scanner de vulnerabilidades, com base no popular Nmap.
Via: RedesZone
