Понимание сканирования уязвимостей для Сокетов

Сканеры сетевых уязвимостей, такие как Nessus, могут представлять результаты для Cato Socket, которые кажутся уязвимостями безопасности. Во многих случаях эти результаты являются ложными срабатываниями или общими рекомендациями по лучшей практике, которые не представляют собой эксплуатируемые проблемы на Socket.

Эта статья объясняет общие результаты сканирования, сообщенные для Cato Socket, и разъясняет, почему эти результаты не представляют риск безопасности, когда Socket развернут с поддерживаемыми версиями и защитой по умолчанию.

Открытые TCP порты на Socket

Сканеры уязвимостей часто отмечают открытые порты как потенциальные уязвимости. Socket намеренно открывает только следующие TCP порты:

TCP 22 – Использовано для SSH доступ к облаку
TCP 443 – Использовано для HTTPS доступ к Веб-интерфейс сокета

На Socket нет дополнительных открытых TCP портов.

Это поведение заложено и необходимо для безопасного управления и эксплуатации Socket.

Веб-интерфейс сокета

Некоторые сканеры сообщают о проблемах с межсайтовым скриптингом (XSS) в Веб-интерфейсе сокета.

Эти проблемы решены в версиях сокета 18 и выше

OpenSSH CVE выводы

Сканеры уязвимостей часто сообщают о CVE, связанных с OpenSSH, на основе обнаружения баннера или общего соответствия версии.

Проверить Отчет о версии OpenSSH

Перед оценкой результатов, связанных с OpenSSH:

Проверить версию OpenSSH от сканера
Подтвердить Версия сокета в использовании

Версия Socket 19 использует OpenSSH 9.3p1. Во многих случаях сканеры отмечают уязвимости, которые применяются к старым версиям OpenSSH и не актуальны для этого выпуска.

CVE-2023-38408

Этот CVE не актуален для Cato Socket

Socket не использует уязвимую функцию OpenSSH, необходимую для эксплуатации этой проблемы

CVE-2002-20001

Эти CVE описывают SSH перебор паролей вектора атак
Socket включает встроенную SSH защиту от перебора паролей атак
Эта защита предотвращает эксплуатацию этих CVE и многие похожие техники атак

Отсутствует HTTP заголовки безопасности

Сканеры могут сообщать об отсутствующих заголовках безопасности HTTP как об уязвимостях.

Эти результаты являются общими рекомендациями по безопасности, а не уязвимостями Socket.

Strict-Transport-Security

Веб-интерфейс сокета это внутренний интерфейс управления
Он не использует общедоступный Полное доменное имя (FQDN)
Strict-Transport-Security заголовок не применим в этом контексте

X-Content-Type-Options

Этот заголовок в основном актуален для веб-приложений, которые поддерживают функцию загрузки файла
Веб-интерфейс сокета не включает функцию загрузки файла
В результате, эта находка не указывает на проблему безопасности

Автозаполнение включено для полей пароля

Некоторые сканеры сообщают, что атрибут автозаполнения включен для полей паролей.

Эта находка не представляет собой уязвимость в Socket
Сканеры ищут атрибут autocomplete=off, который отсутствует

TLS шифры

Сокеты объявляют эти TLS шифры, которые известны как уязвимости.

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Проблемы, связанные с CBC, влияют на TLS 1.0/SSL 3.0 и более ранние версии. Сокеты используют TLS 1.2, что смягчает эти проблемы, и AES-GCM поддерживается и предпочтителен