Strane richieste provenienti dai router Linksys EA4350

2

Ho avuto due Router EA4350 di Linksys per una settimana circa in cui ho usato la mia rete come punti di accesso wireless e all'improvviso ho iniziato a notare richieste da loro una volta al minuto (cura dei miei log di apache) ma il traffico di rete indica richieste ogni 5 secondi.

192.168.1.x - - [19/Nov/2014:10:55:38 -0500] "GET / HTTP/1.1" 302 - "-" "-" 
192.168.1.x - - [19/Nov/2014:10:55:38 -0500] "GET /HNAP1/ HTTP/1.1" 404 2989 "-" "-" 
192.168.1.x - - [19/Nov/2014:10:55:38 -0500] "POST /JNAP/ HTTP/1.1" 404 2987 "-" "-" 
192.168.1.x - - [19/Nov/2014:10:55:38 -0500] "GET /rest/login?next=/ HTTP/1.1" 301 - "-" "-" 
192.168.1.x - - [19/Nov/2014:10:55:38 -0500] "GET /rest/login/?next=/ HTTP/1.1" 200 3634 "-" "-"

Gli ultimi due "/ rest / login" sono in realtà il mio server che reindirizza la prima richiesta "GET /" alla mia schermata di accesso, poiché / è l'unico URL valido nel mio server web (quindi 302 anziché 404).

Dove 192.168.1.x è l'IP del mio router Linksys e tutto il traffico è sulla porta 80 (non 8080). Ho provato a riavviarli entrambi allo stesso modo, aggiornando il firmware alla 1.0.3.160602 e mettendoli in modalità bridge per disabilitare "la maggior parte" delle funzionalità. Nessuno di questi ha aiutato.

NOTA : questo router non è direttamente esposto a Internet, ma può accedere in uscita. Sospettavo il worm TheMoon, ma troppi dettagli non si sommano (Si presume che l'EA4200 sia l'ultimo vulnerabile, non direttamente esposto a Internet, il riavvio non l'ha impedito, il firmware non l'ha risolto, la porta sbagliata, ecc ...)

Dovrei essere preoccupato che il mio router sia stato infettato da qualcosa, o è una seccatura che devo solo filtrare dai miei log?

UPDATE : ho rimappato ogni IP sulla mia rete in una sottorete completamente diversa (10.xyz), e il traffico continuava sporadicamente (non una volta al minuto, solo in modo casuale) per un'ora aggiuntiva DOPO il Le modifiche agli indirizzi IP (quindi provenienti dai NUOVI indirizzi IP del router) e poi interrotte e non sono state viste da quasi una settimana.

    
posta Andy 19.11.2014 - 17:24
fonte

1 risposta

0

Il router potrebbe eseguire la scansione di vulnerabilità su altri router, ma certamente non sembra essere un comportamento previsto.

  • POST / JNAP / è probabilmente un tentativo di sfruttare CVE-2014-8244
  • GET / HNAP1 / è probabilmente la vulnerabilità utilizzata da worm lunare
  • Non ero in grado di individuare gli altri URL in una vulnerabilità specifica con una ricerca rapida.

Secondo la consulenza CERT a cui mi sono collegato per la vulnerabilità JNAP dovresti utilizzare una versione molto più recente del firmware.

    
risposta data 19.11.2014 - 22:25
fonte

Leggi altre domande sui tag