Ho trovato quello che sembra un possibile tentativo di attacco Shellshock che ha come target tmUnblock.cgi
, e sto cercando di capirlo.
Stavo controllando i log di accesso di Apache per un piccolo server web durante il periodo di tempo tra il bug di Shellshock che diventava news e il server che veniva riparato, cercando voci sospette .
Diventa a basso traffico, quindi è in realtà possibile leggere l'intero log di accesso e individuare voci insolite. Si tratta principalmente di scansioni "white hat" come "Scansione Shellshock di Errata Security" di Internet ", con i tentativi Shellshock visibili nella voce del registro attraverso la presenza nell'agent user.
Uno, tuttavia, sembra che potrebbe essere un tentativo di attacco più serio:
72.229.125.183 - - [26/Sep/2014:18:16:48 -0400] "GET /" 400 464 "-" "-"
72.229.125.183 - - [26/Sep/2014:18:16:48 -0400] "GET /tmUnblock.cgi HTTP/1.1" 400 303 "-" "-"
Ce n'è circa 4 nei miei log, tutti provenienti da diversi IP, tutti dopo la pubblicazione di Shellshock. I loro IP provengono da fonti strane e non correlate che sembrano plausibili per i bot.
Il primo sembra essere una scansione (test di vulnerabilità?), quindi c'è un tentativo di indirizzare uno script cgi. Diversamente dalle cose bianche come la scansione di Erratta Security, non c'è nulla che svela il suo scopo nel programma utente (la mia comprensione è che gli attacchi "seri" di Shellshock useranno intestazioni non registrate).
Non ho mai sentito parlare di tmUnblock.cgi
e non sembra esistere sul mio server, quindi mi chiedo principalmente per curiosità (spero!). Cos'è tmUnblock.cgi
ed è qualcosa che potrebbe essere preso di mira con un attacco shellshock?
I miei tentativi di ricerca su tmUnblock.cgi sono finiti in confusione. Sembra associato a un bug sfruttabile nei router Linksys scoperto a febbraio 2014 , che sembra essere correlato all'esecuzione dei comandi della shell e sembra essere stato usato per propagare worm in passato , ma questo è tutto quello che posso trovare.