谷歌宣布开源仅内部使用的漏洞扫描系统 Tsunami

谷歌已宣布将其内部使用的 Tsunami 漏洞扫描程序进行开源，以帮助其他组织保护用户数据。Tsunami 将不会成为谷歌的正式品牌产品，而是由开源社区以类似于管理 Kubernetes（另一种谷歌内部工具）的方式来维护。

“我们已经向开源社区发布了 Tsunami 安全扫描引擎。我们希望该引擎可以帮助其他组织保护其用户数据。我们还希望促进协作，并鼓励安全界在 Tsunami 之上创建和共享新的探测器。”

与其他漏洞扫描程序不同的是，Tsunami 本就是秉承着以大型企业为使用对象的初衷而进行构建的，旨在查找包含数十万个设备的大型网络中的漏洞。谷歌方面表示，其设计的漏洞扫描程序具有极强的适应性，Tsunami 能够扫描多种设备类型，而无需为每种设备运行不同的扫描仪。

Tsunami 在扫描系统时执行两步过程：

第一步是侦查，在此期间，Tsunami 会扫描公司网络中的开放端口。此后，它会测试每个端口并尝试识别在它们上运行的协议和服务，以防止因错误标记端口和测试设备的漏洞所造成的假漏洞。

第二步是漏洞验证，在这里 Tsunami 使用通过侦察收集的信息来确认是否存在漏洞。为此，漏洞扫描程序会尝试完整地良性执行这个漏洞。漏洞验证模块还允许通过插件来扩展 Tsunami。

在初始版本中，Tsunami 随附了用于以下安全问题的检测器：

• Exposed sensitive UIs：Jenkins，Jupyter 和 Hadoop Yarn 之类的应用程序附带了 UI，这些 UI 允许用户调度工作负载或执行系统命令。如果这些系统未经身份验证就暴露在 Internet 上，则攻击者可以利用应用程序的功能来执行恶意命令。

• Weak credentials： Tsunami 使用其他开放源代码工具（例如 ncrack）来检测协议和工具（包括 SSH、FTP、RDP 和 MySQL）使用的弱密码。

谷歌方面还表示，在未来的几个月中，其计划发布更多的漏洞检测器，用于检测类似于远程代码执行（RCE）之类的漏洞。此外，开发团队还在研究其他几个新功能，以使得该工具更强大、更易于使用和扩展。