谷歌已宣布將其內(nèi)部使用的Tsunami 漏洞掃描程序進行開源，以幫助其他組織保護用戶數(shù)據(jù)。Tsunami將不會成為谷歌的正式品牌產(chǎn)品，而是由開源社區(qū)以類似于管理 Kubernetes(另一種谷歌內(nèi)部工具)的方式來維護。

“我們已經(jīng)向開源社區(qū)發(fā)布了Tsunami安全掃描引擎。我們希望該引擎可以幫助其他組織保護其用戶數(shù)據(jù)。我們還希望促進協(xié)作，并鼓勵安全界在Tsunami之上創(chuàng)建和共享新的探測器。”

與其他漏洞掃描程序不同的是，Tsunami本就是秉承著以大型企業(yè)為使用對象的初衷而進行構(gòu)建的，旨在查找包含數(shù)十萬個設(shè)備的大型網(wǎng)絡(luò)中的漏洞。谷歌方面表示，其設(shè)計的漏洞掃描程序具有極強的適應(yīng)性，Tsunami 能夠掃描多種設(shè)備類型，而無需為每種設(shè)備運行不同的掃描儀。

Tsunami在掃描系統(tǒng)時執(zhí)行兩步過程：

第一步是偵查，在此期間，Tsunami會掃描公司網(wǎng)絡(luò)中的開放端口。此后，它會測試每個端口并嘗試識別在它們上運行的協(xié)議和服務(wù)，以防止因錯誤標(biāo)記端口和測試設(shè)備的漏洞所造成的假漏洞。

第二步是漏洞驗證，在這里 Tsunami 使用通過偵察收集的信息來確認(rèn)是否存在漏洞。為此，漏洞掃描程序會嘗試完整地良性執(zhí)行這個漏洞。漏洞驗證模塊還允許通過插件來擴展 Tsunami。

在初始版本中，Tsunami 隨附了用于以下安全問題的檢測器：

Exposed sensitive UIs：Jenkins，Jupyter 和 Hadoop Yarn 之類的應(yīng)用程序附帶了 UI，這些 UI 允許用戶調(diào)度工作負(fù)載或執(zhí)行系統(tǒng)命令。如果這些系統(tǒng)未經(jīng)身份驗證就暴露在 Internet 上，則攻擊者可以利用應(yīng)用程序的功能來執(zhí)行惡意命令。

Weak credentials：Tsunami 使用其他開放源代碼工具(例如ncrack)來檢測協(xié)議和工具(包括 SSH、FTP、RDP 和 MySQL)使用的弱密碼。

谷歌方面還表示，在未來的幾個月中，其計劃發(fā)布更多的漏洞檢測器，用于檢測類似于遠(yuǎn)程代碼執(zhí)行(RCE)之類的漏洞。此外，開發(fā)團隊還在研究其他幾個新功能，以使得該工具更強大、更易于使用和擴展。

關(guān)鍵詞：