Cybersécurité

Scripts Python pour Suivi des Vulnérabilités CVE

L'Équipe Alphorm Par L'Équipe Alphorm

Suivre les vulnérabilités CVE est crucial pour maintenir la sécurité informatique.

Cependant, sans un système automatisé, le suivi peut être fastidieux et inefficace, laissant des failles non corrigées.

Cet article explore l’utilisation d’un script Python et de l’API CIRCL pour automatiser le suivi et l’analyse des vulnérabilités CVE.

Table de matière
Comprendre les vulnérabilités CVEAPI CIRCL et plateformes CVEScript Python pour vulnérabilités CVEAutomatisation Splunk et vulnérabilités CVEFAQConclusion

Formation Splunk : Maitriser les fondamentaux

Maîtrisez les fonctionnalités de base dans l'analyse de logs avec Splunk

Découvrir cette formation

En utilisez un script pour récolter des informations spécifiques, les injecter, et les indexer au niveau d’un bloc. L’approche présentée est simple : un script Python pour obtenir des informations sur les dernières vulnérabilités répertoriées (CVE) disponibles sur le site du ministère. Nous découvrirons également comment ces vulnérabilités sont notées selon leur criticité.

Comprendre les vulnérabilités CVE

Comparaison des catégories CVSSS v2.0 et v3.0

En Prendre Cisco, ASA, j’effectue ma recherche et en fait là il va essayer de me trouver les différentes CVE et vulnérabilités avec le mot clé Cisco ASA. Comme vous pouvez le voir ici, il suffira de cliquer sur la vulnérabilité pour avoir plus de détails.

Liste de vulnérabilités CVE détaillées

Comme vous pouvez le voir ici, il suffira de cliquer sur la vulnérabilité pour avoir plus de détails, notamment l’identifiant.

Description CVE-2021-34794 Cisco ASA vulnérabilité

API CIRCL et plateformes CVE

Nous exploitons une API publique fournie par le CIRCL (Computer Incident Research Center Luxembourg) pour accéder aux dernières CVE. Cette API est accessible gratuitement et sans création de compte. Nous allons utiliser l’adresse spécifique ‘/api/last’ pour récupérer les 30 dernières CVE et les traiter de manière automatisée avec notre script.

Exemples d'utilisation de l'API CVE Search

Script Python pour vulnérabilités CVE

Capture d'écran script Python pour CVE

Le script comporte plusieurs blocs principaux :
– Bloc d’importation : importation des librairies nécessaires, comme Requests pour les requêtes HTTP et JSON pour le traitement des données.
– Appel API : envoi d’une requête à l’URL de l’API et gestion des réponses.
– Analyse des données : récupération et formatage des données en JSON pour une utilisation simple et compréhensible.
– Structure modulaire : les fonctions sont conçues pour être réutilisables et adaptables à d’autres APIs.

Automatisation Splunk et vulnérabilités CVE

Accéder a Splunk Ajouter des données ver Surveille

Capture d'écran interface ajout données Splunk

Et choisir la chemin de script

Configuration d'un script CVE_GET.py sur Splunk

Pour le type de source en choisir Json

Configuration JSON dans Splunk Enterprise

Au Niveau d’host

Champ hôte Splunk configuré à CVE_HOST

Et Créer un Neveux index

Fenêtre configuration index CVE Splunk

Et spécifier l’index dans notre Cas en choisir (CVE)

Menu Splunk montrant l'option CVE

Lancer la recherche :

Interface Splunk après ajout de données
Interface Splunk montrant une recherche CVE.
  • Requête exécutée :L’utilisateur a filtré les résultats en utilisant les champs host = CVE_HOST, source = CVE_SCRIPT, et sourcetype = json.
  • Détails affichés :

Une vulnérabilité a été trouvée, identifiée par l’ID CVE-2021-4169 .

  • Description :Cette vulnérabilité affecte « livehelperchat » et est due à une mauvaise neutralisation des entrées lors de la génération de pages web, entraînant une faille de typeCross-Site Scripting (XSS).
  • Informations associées :Assigné à : security@huntr.devDate de publication :26 décembre 2021, 12:15:00.Dernière modification :26 décembre 2021, 15:00:00.Aucun score CVSS ou détail d’impact n’est spécifié (indiqué comme null).
  • Champs utilisés :Le système affiche les détails des champs intéressants (comme summary, id, last-modified, etc.).

Formez-vous gratuitement avec Alphorm !

Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.

Démarrer gratuitement
illustration processus de paiement en ligne avec étapes claires et convivialité

FAQ

Comment utiliser un script Python pour suivre les vulnérabilités CVE ?
Pour suivre les vulnérabilités CVE, vous pouvez utiliser un script Python qui interagit avec une API publique comme celle du CIRCL. Cela implique d’importer des bibliothèques essentielles comme Requests pour effectuer des requêtes HTTP et JSON pour le traitement des données. Le script envoie une requête à l’API pour récupérer les dernières vulnérabilités, les formate en JSON et les rend facilement exploitables. Cette approche permet de maintenir un suivi automatisé et à jour des vulnérabilités critiques.
L’API CIRCL est une interface publique fournie par le Computer Incident Research Center Luxembourg, permettant d’accéder aux dernières vulnérabilités CVE. Elle est gratuite et ne nécessite pas de compte. Pour l’utiliser, vous pouvez envoyer une requête HTTP à l’URL ‘/api/last’ pour obtenir les 30 dernières vulnérabilités. L’accès à ces données de manière automatisée avec un script Python facilite la gestion proactive des menaces de sécurité.
Pour automatiser l’analyse des vulnérabilités avec Splunk, vous pouvez intégrer un script Python qui récupère les données CVE et les importe dans Splunk. En configurant Splunk pour traiter les sources JSON, vous pouvez analyser et visualiser les données de manière efficace. De plus, en créant un index spécifique pour ces données, comme un index CVE, vous pouvez filtrer et gérer les résultats de recherche, permettant une gestion centralisée des vulnérabilités.
Les CVE (Common Vulnerabilities and Exposures) jouent un rôle crucial dans la sécurité informatique en fournissant un identifiant unique pour chaque vulnérabilité connue. Cela facilite le partage d’informations entre les chercheurs en sécurité, les fournisseurs de logiciels et les utilisateurs finaux. Être informé des CVE permet aux organisations de prendre des mesures proactives pour atténuer les risques, de prioriser les correctifs de sécurité et de renforcer leur posture de cybersécurité.
La criticité des vulnérabilités CVE est souvent évaluée à l’aide du système de notation CVSS (Common Vulnerability Scoring System), qui attribue un score basé sur divers facteurs tels que l’impact et l’exploitabilité. Dans l’article, il est mentionné que les vulnérabilités peuvent être notées selon leur criticité, bien que certains CVE puissent ne pas avoir de score CVSS précisé. Comprendre ces scores aide les organisations à prioriser les correctifs et les évaluations de risque.

Conclusion

En utilisant efficacement les scripts Python et l’API CIRCL, vous pouvez maintenir une veille proactive sur les vulnérabilités CVE. Quelle autre stratégie envisagez-vous pour améliorer votre sécurité informatique ?

ÉTIQUETÉ : Splunk
Facebook
Twitter
LinkedIn
Email
WhatsApp
Par L'Équipe Alphorm
Démocratiser la Connaissance Informatique pour Tous !
Suivre :
L'Équipe Alphorm, c'est la démocratisation de la connaissance informatique. Passionnés et dévoués, nous sommes là pour vous guider vers le succès en rendant la technologie accessible à tous. Rejoignez notre aventure d'apprentissage et de partage. Avec nous, le savoir IT devient une ressource inspirante et ouverte à tous dans un monde numérique en constante évolution.

Derniers Articles

Laisser un commentaire