Metasploitable 3 ist eine virtuelle Maschine, die einige gewollte Verwundbarkeiten mitbringt, damit Sicherheitsforscher das Metasploit-Framework daran austesten können – aber nicht nur das. Neuerdings ist die VM Open Source.

Nach Angabe der Programmierer von Rapid 7, die auch Metasploit entwickeln, bestand ein Nachteil der Vorgängerversion Metasploitable 2 in der langfristigen Pflege, daher wolle man die Community nun besser einbinden. Metasploitable 3 wartet auf Github, das Projekt akzeptiere auch Codebeiträge der Community. Zwar gibt es erst ein Windows-Image, ein Linux-Image soll aber folgen.

Nutzer laden nun keine VM mehr herunter, sondern nur den Quellcode. Mit Hilfe von Packer, Vagrant und einem Bash-Skript erzeugen Linux-Nutzer das Image für Virtualbox. Wer es manuell generieren möchte, wirft einen Blick in das README.

Metasploitable 3 macht das Exploiten etwas komplizierter als die Vorgänger-VM. Nicht jede Verwundbarkeit lässt sich mit einem einzigen Metaspolit-Modul ausnutzen, zudem enthält die VM in Sachen Rechtevergabe und Firewall einige Beschränkungen, die Windows mitbringt. Wer zum Beispiel Zugriff auf Dienste mit höheren Privilegien will, muss die Firewall umgehen. Die schaltet aber notfalls auch das Setzen eines Wertes über die Umgebungsvariable “MS3_DIFFICULTY” aus.

Die Macher haben zudem so genannte Flags im System versteckt. Sie dienen als Pendant für echte Firmendaten, und bestehen aus Pokerkarten mit den Gesichtern der Metasploit-Entwickler. Sie lassen sich unter anderem daran erkennen, dass sie strikte Rechte besitzen, versteckt oder eingebettet sind oder über bestimmte Dateiattribute verfügen. Sie alle aufzuspüren, verlangt unter anderem ein wenig Wissen über Reverse Engineering. Blogpost sollen künftig mehr über die versteckten Flags verraten.

Nicht zuletzt gibt es Pläne im Projekt, die User irgendwann mehrere verwundbare Images bauen und als Netzwerk arrangieren zu lassen.