Plugin CVE : détection des vulnérabilités

Le plugin CVE de Rudder détecte automatiquement les vulnérabilités connues dans les paquets installés sur vos nodes. Il alimente le Rudder Score et s’intègre avec le plugin System Updates pour la remédiation.

Qu’est-ce qu’une CVE ?

Avant de parler du plugin, comprenons ce qu’est une CVE.

Définition simple

Une CVE (Common Vulnerabilities and Exposures) est une faille de sécurité référencée publiquement. Chaque faille découverte reçoit un identifiant unique (ex : CVE-2024-1234) qui permet à tous les acteurs de la sécurité de parler de la même chose.

Concrètement :

• Un chercheur en sécurité découvre une faille dans un logiciel (ex : OpenSSL)
• La faille est analysée, documentée et publiée dans une base de données mondiale (NVD, MITRE)
• Tous les systèmes utilisant ce logiciel sont potentiellement vulnérables
• Les équipes sécurité doivent identifier si elles sont impactées et corriger rapidement

Analogie

Pensez aux CVE comme aux rappels de produits dans l’industrie automobile. Quand un défaut de freinage est découvert, le constructeur publie un avis et tous les propriétaires concernés doivent faire réparer leur véhicule. Une CVE, c’est pareil : un défaut est annoncé, et vous devez vérifier si vos serveurs sont concernés.

Le problème : comment savoir quels paquets sont installés sur vos 50, 100 ou 500 serveurs, et lesquels sont vulnérables ? C’est exactement ce que résout le plugin CVE de Rudder.

Plus d’infos sur les CVE

Le plugin CVE

À quoi sert-il ?

Le plugin CVE scanne automatiquement les paquets installés sur tous vos nodes et les compare à la base de données mondiale des vulnérabilités. Il vous indique en temps réel quels serveurs sont exposés à quelles failles.

Sans le plugin CVE

Vous devez scanner manuellement chaque serveur, centraliser les résultats, croiser avec les bases CVE… Un travail titanesque qui n’est jamais fait correctement.

Avec le plugin CVE

À chaque inventaire, Rudder analyse les paquets installés et affiche les vulnérabilités directement dans l’interface. Tout est centralisé et à jour.

Valeur ajoutée concrète :

• Vue d’ensemble : un seul écran pour voir toutes les CVE de votre parc
• Priorisation : les CVE critiques remontent automatiquement
• Historique : suivez l’évolution de votre exposition dans le temps
• Intégration : le Rudder Score reflète votre niveau de vulnérabilité

Disponibilité et éditions

Le plugin CVE fait partie de la solution Patch & Vulnerability Management de Rudder. Il est disponible dans :

• Rudder Enterprise : avec le focus “Patch & Vulnerability Management”
• Rudder Corporate Security Suite : inclut toutes les solutions

Activation

Pour activer le plugin :

1. Installez le plugin

   Via le gestionnaire de plugins dans Settings → Plugins.

2. Vérifiez la connectivité

   Le serveur Rudder doit pouvoir accéder à https://api.rudder.io/cve/* par HTTPS. Si vous utilisez un proxy, configurez-le dans /opt/rudder/etc/rudder-pkg/rudder-pkg.conf.

3. Allouez suffisamment de mémoire

   Le plugin nécessite au moins 4 Go de RAM pour la JVM. Ajustez dans /etc/default/rudder-jetty si nécessaire :

   JAVA_XMX=4096

Comment ça fonctionne ?

Rudder envoie la liste des paquets installés (sans information sur les nodes comme les hostnames ou IPs) à l’API Rudder. Ce service analyse les paquets en utilisant les bases OVAL et les security trackers des distributions (Debian, RHEL, Ubuntu…), puis renvoie les vulnérabilités correspondantes.

Lecture des résultats

Après installation, un nouveau menu Vulnerabilities apparaît dans la section Security Management. Le plugin propose deux vues complémentaires :

Vue par Node : pour chaque serveur, un résumé des vulnérabilités détectées avec la liste des CVE et paquets impactés.

Vue par CVE : pour chaque vulnérabilité, la liste des nodes affectés et des paquets concernés.

Pour chaque CVE, vous voyez :

Information	Description
CVE ID	Identifiant unique (ex: CVE-2024-1234)
Score CVSS	Gravité de 0.0 à 10.0
Sévérité	Critical, High, Medium, Low, Info ou Unknown
Paquets concernés	Nom et version des paquets vulnérables
Description	Détails sur la vulnérabilité

Interprétation du score CVSS

Le CVSS (Common Vulnerability Scoring System) est un score standardisé qui mesure la gravité d’une vulnérabilité. Il va de 0 (aucun risque) à 10 (critique).

Comment est calculé le CVSS ?

Le score prend en compte plusieurs facteurs :

• Vecteur d’attaque : faut-il un accès local ou la faille est-elle exploitable à distance via le réseau ?
• Complexité : l’exploitation est-elle triviale ou nécessite-t-elle des conditions particulières ?
• Privilèges requis : faut-il être authentifié pour exploiter la faille ?
• Impact : que peut faire l’attaquant ? Lire des données ? Les modifier ? Prendre le contrôle total ?

Score CVSS	Gravité	Action recommandée	Exemple concret
9.0 - 10.0	Critique	Correction immédiate	Exécution de code à distance sans authentification
7.0 - 8.9	Élevée	Correction prioritaire	Élévation de privilèges, fuite de données sensibles
4.0 - 6.9	Moyenne	Planifier la correction	Déni de service, fuite d’informations limitée
0.1 - 3.9	Faible	À évaluer selon le contexte	Conditions d’exploitation très spécifiques

Attention au contexte

Un score CVSS de 6.0 sur un serveur interne isolé est moins urgent qu’un score de 6.0 sur un serveur exposé à Internet. Le contexte d’exposition compte autant que le score brut. Mais attention à ne pas les traiter car meme non exposé, ils peuvent représenter un risque lors d’un mouvement latéral.

Intégration avec le Rudder Score

Le plugin CVE alimente le score Vulnerabilities du Rudder Score. Ce score est calculé selon deux critères : le nombre de CVE critiques (score CVSS > 9.0) et le nombre total de CVE détectées.

Score	CVE critiques (CVSS > 9.0)	CVE totales
A	0	< 50
B	1-5	50-75
C	5-20	75-125
D	20-50	125-175
E	50-80	175-250
F	> 80	> 250

CVE Blacklist

Certaines CVE peuvent être ignorées volontairement (faux positifs, risque accepté). Le plugin propose une fonctionnalité de blacklist : les CVE blacklistées restent détectées mais ne comptent plus dans le score et ne s’affichent plus dans l’interface.

Workflow de remédiation

Le plugin CVE offre des fonctionnalités avancées pour faciliter la remédiation :

1. Identifier les CVE critiques

   L’analyse CVE s’exécute automatiquement une fois par jour. Vous pouvez aussi lancer un scan manuel via le bouton “Actions”. Triez par sévérité et concentrez-vous sur les CVE critiques et hautes.

2. Créer un groupe dynamique

   Depuis la page de détails d’une CVE, cliquez sur le bouton pour créer un groupe dynamique contenant tous les nodes vulnérables à cette CVE. Le groupe est automatiquement mis à jour après chaque scan.

3. Planifier la remédiation

   Si le plugin System Updates est installé, vous pouvez créer une campagne de mise à jour directement depuis la CVE. La campagne cible automatiquement le groupe CVE et les paquets vulnérables.

4. Vérifier la correction

   Après mise à jour, le prochain scan CVE confirmera la disparition de la vulnérabilité et les nodes seront retirés du groupe dynamique.

Systèmes supportés

Le plugin CVE détecte les vulnérabilités sur :

• Linux : Debian 8-13, RHEL 5-10, Ubuntu 14.04-24.04, SLES 11-15, Amazon Linux, Oracle Linux 5-10
• Windows : toutes les versions supportées par Rudder (via les KB non installés)

Seules les CVE corrigeables (mise à jour ou KB disponible) sont reportées.

À retenir

Les points clés

1. Une CVE est une faille de sécurité référencée — Identifiant unique, gravité mesurée (CVSS), correctif souvent disponible.

2. Le plugin CVE automatise la détection — Plus besoin de scanner chaque serveur manuellement. Rudder centralise tout.

3. Le score CVSS guide la priorisation — Concentrez-vous sur les scores ≥ 7.0. Le contexte d’exposition compte aussi.

4. Groupes dynamiques et campagnes — Créez des groupes de nodes vulnérables et lancez des campagnes de remédiation directement depuis une CVE.

5. Le Rudder Score donne une vue globale — Un indicateur objectif pour suivre votre posture sécurité et communiquer avec le management.

Guides de cette série

Introduction Rudder Présentation générale et positionnement par rapport à Ansible/Puppet.

Installation Installer le serveur et les agents Rudder.

Concepts fondamentaux Techniques, Directives, Groupes et Rules — les 4 piliers de Rudder.

Premier cas d'usage Créez votre première configuration complète en 15 minutes.

Conformité et audit Modes Audit/Enforce et Rudder Score.

Plugin System Updates Campagnes de mises à jour planifiées.

Plugin CIS Benchmarks Durcissement selon les référentiels CIS.

Plugin OpenSCAP Audits de conformité SCAP automatisés.