CVE-Reporter

CVE-Reporter: E-Mail Info über neue Schwachstellen per Mail

Mit dem CVE-Reporter können sich Administratoren per E-Mail über neu bekannt gewordene Schwachstellen und Sicherheitslücken in eingesetzten Produkten informieren lassen. Der CVE-Reporter lädt dazu den frei verfügbaren „National Vulnerability Database“ Feed (NVD Data Feed) des NIST (National Institute of Standards and Technology) runter und durchsucht die Daten nach frei definierbaren Keywords. Der CVE-Reporter kann somit Administratoren zeitnah über neue Schwachstellen und Sicherheitslücken informieren, sodass schnell Gegenmaßnahmen eingeleitet werden können.

Hier finden sich Informationen zum NIST und zum NVD Data Feed:

Das NIST ist synchronisiert mit den CVE Daten des MITRE, jedoch liefert das NIST mit dem „CVE-Recent“-Feed einen Datensatz für einen kleineren aktuelleren Zeitraum, dadurch muss nicht das komplette Jahr der MITRE Feeds nach Keywords durchsucht werden. Somit dauert ein CVE-Reporter Durchlauf nur wenige Sekunden und kann daher beispielsweise täglich (oder auch mehrmals täglich) ausgeführt werden.

Beispielreport des CVE-Reporter:

CVE-Reporter Beispiel

CVE-Reporter ist ein PowerShell Script welches einfach an die eigenen Anforderungen angepasst werden kann. Die Keywords nach denen in den CVEs gesucht werden soll, lassen sich frei definieren. Am Ende des Reports wird außerdem eine kleine Statistik angezeigt:

CVE-Reporter Statistik

Auch wenn keine neuen Schwachstellen gefunden wurden, wird eine entsprechende Mail versendet, so lässt sich die korrekte Funktion den CVE-Reporter prüfen:

CVE-Reporter Beispiel

Folgende Funktionen sind aktuell implementiert:

  • Automatischer NVD Recent Feed Download (lässt sich auch mit anderen NVD Feeds nutzen)
  • Durchsuchen der Daten nach frei definierbaren Keywords
  • Erstellen einen E-Mail Reports mit den entsprechenden Daten aus dem NVD Feed
  • Nur neue oder aktualisierte Schwachstellen werden berichtet, doppelte Meldungen werden somit vermieden
  • Definierbare E-Mail Einstellungen
  • kleine Statistik zu den Daten und Laufzeit des Scripts

Konfiguration

Der CVE-Reporter kann als geplanter Task auf einem Windows Rechner mit PowerShell 5 ausgeführt werden. Am Script selbst sind nur wenige Anpassungen erforderlich:

CVE Reporter Einstellungen

Über die Einstellung der „SearchPatternList“ lassen sich Keywords festlegen zu denen in den Feed Daten gesucht werden soll. Durchsucht wird dabei die Beschreibung des Eintrags aus dem NVD Feed. Jede Zeile enthält dabei eine oder mehrere Zeichenfolgen welche gesucht werden sollen. Das Script durchsucht die Daten mit dem PowerShell „-like“ Operator, somit sind auch Wildcards in der Suche erlaubt. Die Einstellungen im Abschnitt „Mailsettings“ sind (denke ich) selbsterklärend. Leider enthält der Feeed nicht das konkret betroffene Produkt, somit lässt sich auch nur die Beschreibung nach nach entsprechenden Produkten (Keywords) durchsuchen.

Change Log

Version 1.0

  • erste öffentliche Version

Bekannte Bugs

Derzeit sind keine Bugs bekannt.

Über das Formular kann ein Fehler oder Verbesserungsvorschlag gemeldet werden.


    Download