Kali Linux 2021.3 のペンテスト能力:OpenSSL/VM 対応を強化

Kali Linux 2021.3 released with new pentest tools, improvements

2021/09/15 BleepingComputer — 昨日に Offensive Security からリリースされた Kali Linux 2021.3 には、新しいツールセットや、改善された仮想化サポート、攻撃対象領域が増えた新しい OpenSSL コンフィグレーションなどが含まれている。

Kali Linux は、サイバー・セキュリティの専門家やホワイト・ハッカーが、ペネトレーション・テストやセキュリティ監査を行うために設計された、Linux ディストリビューションである。今回のリリースで、Kali Linux チームは以下の新機能を導入した。

• OpenSSL – Wide compatibility by default
• New Kali-Tools site – Kali-Tools has had a complete refresh
• Better VM support in the Live image session – Copy & paste and drag & drop from your machine into a Kali VM by default
• New tools – From adversary emulation, to subdomain takeover to Wi-Fi attacks
• Kali NetHunter smartwatch – first of its kind, for TicHunter Pro
• KDE 5.21 – Plasma desktop received a version bump

OpenSSL:すべてのレガシー・プロトコルに対応

大半の Linux ディストリビューションでは、デバイスや Web サイトを適切に保護するために、OpenSSL の古くて安全でなはいプロトコル TLS 1.0 / TLS 1.1 などを無効にしている。しかし、Kali Linux はペネトレーション・テスト用のディストリビューションであるため、すべてのプロトコルを有効にして、安全ではないプロトコルを使用している古いデバイスも含めて、すべてのシステムをターゲットにできるようにしている。今回のリリースで Offensive Security は幅広い互換性のために OpenSSL をコンフィグレーションしている。つまり、古い暗号や安全ではないプロトコルを有効にして、攻撃対象領域を増やすことが可能になる。

仮想化サポートの強化

Kali Live のイメージで強化されたのは、VMware/VirtualBox/Hyper-V/QEMU+Spice などの仮想化環境での実行に対するサポートだ。Offensive Securityによると、仮想化環境でLiveイメージを使用すると、Guest などをインストールしなくても、コピー&ペーストやドロップ&ドロップの機能が、自動的に得られるようになる。BleepingComputer のテストでは、Windows 上の最新版 VirtualBox で Kali Linux 2021.3 Live を実行したところ、ディスプレイのサイズ変更やコピー&ペーストは直ぐに動作した。ただし、ドラッグ&ドロップ機能は動作させることができなかった。

Kali Linux 2021.3 で追加された、ツールやユーティリティを以下に紹介する。

• Berate_ap – Orchestrating MANA rogue Wi-Fi Access Points
• CALDERA – Scalable automated adversary emulation platform
• EAPHammer – Targeted evil twin attacks against WPA2-Enterprise Wi-Fi networks
• HostHunter – Recon tool for discovering hostnames using OSINT techniques
• RouterKeygenPC – Generate default WPA/WEP Wi-Fi keys
• Subjack – Subdomain takeover
• WPA_Sycophant – Evil client portion of EAP relay attack

Kali-Tools サイトのリニューアル

Offensive Security は、Kali-Tools のサイトをリニューアルし、デザインの刷新とスピードの向上を図っている。さらに、Offensive Security は、このドキュメント・リポジトリをオフラインでも利用できるよう、早急に対応を進めるという。

Kali Linux 2021.3 の入手方法

Kali Linux 2021.3 を使い始めるには、既存のインストールをアップグレードするか、新規インストールもしくは Live ディストリビューション用の、ISO イメージをダウンロードする。Windows Subsystem for Linux (WSL) 上のインストールを含め、以前のバージョンからアップデートする場合も、いくつかのコマンドを用いで、最新バージョンにアップグレードできる。

ペネトレーション・テストやセキュリティ監査を行うために設計された、Linux ディストリビューションということなのですね。OpenSSL のペンテストを実施するだけでも、いろいろな問題があることが分かってきます。以前に「ペンテストを頑張っても同じ脆弱性が再発するのは何故だろう?」をポストしましたが、そこには「まだまだ改善の余地があると、明確に認められた分野があり、とりわけ自動化に関しては、その傾向が顕著だ。回答者の約 75% が、ペン・テストで発見した問題を、手動で修正していると答えている」と記されていました。まだまだ伸びしろのある領域なので、期待大です。

%d bloggers like this: