脆弱性検知ツール「Vuls（バルス）」

「バルス」といえば滅びの言葉（正確には英語圏では「balus」と表記）として有名ですが、こちらの「Vuls」は「Vulnerability Scanner」の略で滅ばない為の脆弱性検知ツールです。
2016年04月にFuture社によりGithubで公開され、IPAの「脆弱性対策の効果的な進め方 ツール活用編」でも紹介されています。

脆弱性情報の収集は、重大な脆弱性の場合はニュースサイト等でも取り上げられ自然と耳に入ってきますが、主にはIPAやJPCERT、JVNの情報の確認することになります。またソフトウェアの提供サイトでも情報提供されていますが、各サイトで記載方法がバラバラで探しにくく手間がかかってしまいます。

近年では、脆弱性の公表から攻撃が開始されるまでの期間が短くなる傾向にあり、脆弱性情報の確認も頻繁に行う必要がありますが、手作業で行うとなかなか時間を取られてしまうので、何かいいツールはないかと探していたところ上記記載の通りIPAで紹介されており、インストールも簡単で使いやすそうなので試してみました。

導入

容易にインストールできるスクリプト「Vulsctl」がGithubに公開されているので、ダウンロードして実行するだけでインストールは完了です。
今回は、RockyLinux8.7をminimalでセットアップしたサーバーにインストールし、スキャンを実行しました。

スキャン結果

スキャン結果はターミナル上でのテキスト表示やtuiでの表示に加え、ブラウザで確認できるreport機能「VulsRepo」（別途インストール）もあります。「VulsRepo」を使うと色分け表示されたり脆弱性の詳細情報の表示も簡単に行えるので便利です。
RockyLinux8.7は2022年11月にリリースされましたが、本記事執筆時点でのスキャンで全部で252件検出されました。CVEIDやCVSS Severityレベル、Fix情報も確認できますので優先対応しなければならない脆弱性が一目でわかる表示です。

スキャン結果から252件中88件はFix版が出ているとの結果なので早速セキュリティアップデートを実行したところFix版がリリースされているソフトウェアはすべてアップデートされ、再スキャン結果でもすべてFix済みと表示されました、と言いたいところでしたが、RockyLinuxではなぜかOpenSSLだけセキュリティアップデートでは更新されず、通常のアップデートを実施する必要がありました（RHEL8.7はセキュリティアップデートですべてのFix版がインストールされました）
漫然とセキュリティアップデートを行っていただけでは気づかないところでしたが、「Vuls」で脆弱性の可視化と確認を行ったことで簡単に気付けた事象です。
未対応の164件も気になるところですが、脆弱性の確認、パッチ適応状況の確認を簡単に行うことができました。

今回はローカルホストのみのスキャンでしたが、Vulsではリモートホストのスキャンもエージェントレスで実行可能で、スキャン結果のメール通知なども可能です。Vulsを利用すれば手軽に脆弱性情報の確認を行えるようになるので、脆弱性対策も捗りそうです。

※本記事は弊社保守サポートサービスに加入された方向けの情報配信メルマガ「OSSサポートサービスメールマガジン」から転記しております。