jueves, 24 de abril de 2014

vFeed® – Cross-Linked Vulnerability XML Database

Deseo mostrarles una herramienta hecha en Python (que la verdad uso mucho) muy útil llamada vFeed. Pero para explicarla, primero debo contarles brevemente qué es un CVE.

Pues bien, los Common Vulnerabilities and Exposures (CVE), son una lista de información registrada sobre conocidas vulnerabilidades de seguridad, donde cada referencia tiene un número de identificación único. De esta forma provee una nomenclatura común para el conocimiento público de este tipo de problemas y así facilitar la compartición de datos sobre dichas vulnerabilidades. La información y nomenclatura de esta lista es usada en la National Vulnerability Database, que es el repositorio más grande de información sobre vulnerabilidades.

Una vulnerabilidad recién descubierta, para que sea incorporada totalmente al listado, tiene que seguir un proceso que consta de tres etapas:

  1. Etapa de presentación inicial
  2. Etapa de candidatura
  3. Etapa de ingreso en la lista (si es que la candidatura es aceptada)

Por esta razón la lista CVE no tiene vulnerabilidades de 0-Day (recién descubierta). OK la clase hasta aquí!!

Resulta y pasa que hay herramientas que nos facilitan la recolección de estos CVE's para saber que exploit usar contra un sistema. Una de estas es el vFeed® – The Open Source Correlated and Cross-Linked Vulnerability XML Database... vaya nombre! Fue hecha por NJ OUCHN (@toolswatch en Twitter) y fue construida con tecnologías Open Source:
  • Python
  • sqlite3
  • openCVSS.py v1.3 lib escrita por Brandon Dixon de 9b+
Básicamente es un listado de datos en XML que te permiten correlacionar una búsqueda de CVE's. Y puedes descargarla de su repositorio en GitHub aquí. Puedes usar la siguiente línea en un terminal:  git clone https://github.com/toolswatch/vFeed.git. Si no tienes usuario de GitHub te recomiendo bajarla de este otro link en formato zip.

Se podría ver así gráficamente:

vCORE_v2_Eg

El core de vFeed recolecta los basis xml feeds generados por alguna referencia, web por ejemplo. (en este caso los tipo NVD o CVE) y los correlaciona a través de múltiples orígenes de información. Estos son ejemplos de estas fuentes:

  • OVAL (http://oval.mitre.org)
  • CAPEC (http://capec.mitre.org)
  • CVSS (http://www.first.org/cvss)
  • Microsoft MS
  • Mandriva
  • Redhat
  • Cisco

Instalación y uso

Para instalarla, descomprime el zip que bajaste del link que te mencioné anteriormente, ingresar a la carpeta donde lo descomprimiste (asumo que eres un geek e hiciste los dos pasos anteriores desde el terminal!!), ejecuta el siguiente comando para actualizar la BD local: ./vfeedcli.py update y listo. Recuerda actualizarla de cuando en cuando, ya que es una herramienta offline.

Para ver cuales parámetros usar y ejemplos de ejecución puedes irte a este link. Igual te doy un tip: ./vfeedcli.py get_cve CVE-2013-1347

Nos vemos malignos (dijo Chema Alonso...)

Publicadas por a la/s
Etiquetas: , ,

No hay comentarios.:

Publicar un comentario

Suscribirse a: Comentarios de la entrada (Atom)