Che cos'è "tmUnblock.cgi" e può essere sfruttato da Shellshock? (Server Web Linux / Apache)

14

Ho trovato quello che sembra un possibile tentativo di attacco Shellshock che ha come target tmUnblock.cgi , e sto cercando di capirlo.

Stavo controllando i log di accesso di Apache per un piccolo server web durante il periodo di tempo tra il bug di Shellshock che diventava news e il server che veniva riparato, cercando voci sospette .

Diventa a basso traffico, quindi è in realtà possibile leggere l'intero log di accesso e individuare voci insolite. Si tratta principalmente di scansioni "white hat" come "Scansione Shellshock di Errata Security" di Internet ", con i tentativi Shellshock visibili nella voce del registro attraverso la presenza nell'agent user.

Uno, tuttavia, sembra che potrebbe essere un tentativo di attacco più serio:

72.229.125.183 - - [26/Sep/2014:18:16:48 -0400] "GET /" 400 464 "-" "-"
72.229.125.183 - - [26/Sep/2014:18:16:48 -0400] "GET /tmUnblock.cgi HTTP/1.1" 400 303 "-" "-"

Ce n'è circa 4 nei miei log, tutti provenienti da diversi IP, tutti dopo la pubblicazione di Shellshock. I loro IP provengono da fonti strane e non correlate che sembrano plausibili per i bot.

Il primo sembra essere una scansione (test di vulnerabilità?), quindi c'è un tentativo di indirizzare uno script cgi. Diversamente dalle cose bianche come la scansione di Erratta Security, non c'è nulla che svela il suo scopo nel programma utente (la mia comprensione è che gli attacchi "seri" di Shellshock useranno intestazioni non registrate).

Non ho mai sentito parlare di tmUnblock.cgi e non sembra esistere sul mio server, quindi mi chiedo principalmente per curiosità (spero!). Cos'è tmUnblock.cgi ed è qualcosa che potrebbe essere preso di mira con un attacco shellshock?

I miei tentativi di ricerca su tmUnblock.cgi sono finiti in confusione. Sembra associato a un bug sfruttabile nei router Linksys scoperto a febbraio 2014 , che sembra essere correlato all'esecuzione dei comandi della shell e sembra essere stato usato per propagare worm in passato , ma questo è tutto quello che posso trovare.

    
posta user568458 27.09.2014 - 02:06
fonte

3 risposte

14

tmUnblock.cgi è un eseguibile CGI binario in alcuni firmware router Cisco / Linksys che ha più buchi di sicurezza che consentono vari attacchi al router. Non è correlato alla vulnerabilità "shellshock".

A meno che il tuo "piccolo server web" sia in qualche modo in esecuzione su un router Cisco / Linksys con firmware di serie, le voci del registro non sono nulla di cui preoccuparsi.

    
risposta data 27.09.2014 - 07:41
fonte
3

probabilmente la richiesta proviene da qualcuno che usa il link È citato in cig_list_example.txt lì ^^ Quindi, in qualche modo è correlato a shellshock

    
risposta data 07.10.2014 - 23:06
fonte
3

Informazioni su cgi_list_example.txt di shellshock-scanner, l'inclusione di tmUnblock.cgi nell'elenco è forse non correlata a shellshock. Ho fatto quella lista prendendo alcuni CGI da diversi posti, alcuni dei quali sono stati presi dai miei registri come "possibili cGi vulnerabili" (nel caso li testassi per loro).

Altri provengono da altri post / poc che ho trovato là fuori. Probabilmente alcuni non sono realmente correlati a shellshock.

    
risposta data 08.10.2014 - 10:01
fonte

Leggi altre domande sui tag