SERVER-IIS tentativo di esecuzione di più codici di estensione

Naviga le tue risposte
1

Sourcefire ha rilevato un evento SERVER-IIS multiple extension code execution attempt e ha catturato un pacchetto. Originato da un IP cinese, AbuseIPDB ha diversi record sulla sua attività dannosa. Alcuni log includevano una stringa user-agent che menzionava Googlebot2.0, ma eseguendo una ricerca IP inversa, l'IP non si risolve in nulla, quindi suppongo che sia falsificato.

Ora la domanda è: questo exploit è visibile nel pacchetto (.asp + .jpg) o Sourcefire ha catturato solo uno dei tentativi di esecuzione? Qualcuno può spiegare l'anatomia di questo attacco?

pacchetto: 

.PV..4.
I.....'#[email protected].!%.
 .....P.**..l..P..<._..HEAD /Ac2.asp;.jpg HTTP/1.1
User-Agent: IE 10.0
Host: www.*****.com
    
posta Gabrielius 27.09.2017 - 13:28
fonte

1 risposta

1

Quello che vedi è un tentativo di sfruttare una vulnerabilità di Microsoft IIS (in effetti piuttosto vecchia). Ho trovato questo post di blog con la documentazione e ulteriori dettagli a riguardo:

link

Il nome in codice per questa vulnerabilità è CVE-2009-4444.

Questo evento non identifica se l'attaccante ha avuto successo o meno, mostra solo che hanno tentato di sfruttarlo.

    
risposta data 27.09.2017 - 14:28
fonte

Leggi altre domande sui tag

Come revocare il certificato e generare un CRL? C'è un rischio per la sicurezza che usa gli altoparlanti del computer bluetooth?