J'ai trouvé ce qui ressemble à une éventuelle tentative d'attaque Shellshock ciblant tmUnblock.cgi
, et j'essaie de le comprendre.
Je cherchais dans les journaux d'accès Apache un petit serveur Web pendant la période entre le bug de Shellshock devenant des nouvelles et le serveur étant corrigé, recherchant entrées suspectes .
Le trafic est faible, il est donc possible pour moi de lire l'intégralité du journal d'accès et de repérer les entrées inhabituelles. Il s'agit principalement d'analyses "chapeau blanc" telles que "Shellshock Scan of Internet" d'Errata Security , les tentatives Shellshock étant visibles dans l'entrée de journal via leur présence dans l'agent utilisateur.
Cependant, il semble que ce pourrait être une tentative d'attaque plus sérieuse:
72.229.125.183 - - [26/Sep/2014:18:16:48 -0400] "GET /" 400 464 "-" "-"
72.229.125.183 - - [26/Sep/2014:18:16:48 -0400] "GET /tmUnblock.cgi HTTP/1.1" 400 303 "-" "-"
Il y en a environ 4 dans mes journaux, tous provenant d'IP différentes, tous postérieurs à la publication de Shellshock. Leurs adresses IP proviennent toutes de sources étranges et indépendantes qui semblent plausibles pour les bots.
Le premier semble être une analyse (test de vulnérabilité?), Puis il y a une tentative de ciblage d'un script cgi. Contrairement aux trucs de chapeau blanc comme l'analyse de sécurité Erratta, rien ne révèle son objectif dans l'agent utilisateur (je crois comprendre que les attaques Shellshock `` sérieuses '' utiliseront des en-têtes qui ne sont pas enregistrés).
Je n'ai jamais entendu parler de tmUnblock.cgi
et il ne semble pas exister sur mon serveur, donc je demande surtout par curiosité (j'espère!). Quel est tmUnblock.cgi
et est-ce quelque chose qui pourrait être ciblé par une attaque Shellshock?
Mes propres tentatives de recherche sur tmUnblock.cgi se sont soldées par de la confusion. Il semble associé à un bogue exploitable dans les routeurs Linksys découvert en février 2014 , qui semble être lié à l'exécution de commandes Shell et semble avoir été utilisé pour propager des vers dans le passé , mais c'est tout ce que je peux trouver.
tmUnblock.cgi
est un exécutable CGI binaire dans certains firmwares de routeurs Cisco/Linksys qui a plusieurs failles de sécurité qui permettent diverses attaques sur le routeur. Elle n'est pas liée à la vulnérabilité "Shellshock".
À moins que votre "petit serveur Web" ne fonctionne d'une manière ou d'une autre sur un routeur Cisco/Linksys avec un micrologiciel d'origine, les entrées de journal ne vous inquiètent pas.
la demande provient probablement d'une personne utilisant https://github.com/gry/Shellshock-scanner Elle est mentionnée dans le cig_list_example.txt là ^^ Donc, d'une manière ou d'une autre, elle est liée à IS à Shellshock
À propos du cgi_list_example.txt de Shellshock-scanner, l'inclusion de tmUnblock.cgi dans la liste n'est peut-être pas liée à Shellshock. J'ai fait cette liste en prenant quelques CGI de différents endroits, certains d'entre eux ont été pris de mes propres journaux comme "possibles cgis vulnérables" (juste au cas où je les testerais).
D'autres proviennent d'autres publications/publications que j'ai découvertes. Certains ne sont probablement pas liés à Shellshock.