it-swarm.com.de

Was ist "tmUnblock.cgi" und kann es von Shellshock ausgenutzt werden? (Linux / Apache Webserver)

Ich habe einen möglichen versuchten Shellshock-Angriff auf tmUnblock.cgi Gefunden und versuche, ihn zu verstehen.


Ich habe in den Apache-Zugriffsprotokollen nach einem kleinen Webserver gesucht, während der Shellshock-Fehler zu einer Neuigkeit wurde und der Server gepatcht wurde, und nach verdächtigen Einträgen gesucht.

Es wird wenig Verkehr, so dass ich tatsächlich das gesamte Zugriffsprotokoll lesen und ungewöhnliche Einträge erkennen kann. Hierbei handelt es sich meistens um "White Hat" -Scans wie Errata Securitys "Shellshock-Scan des Internets" , wobei die Shellshock-Versuche im Protokolleintrag sichtbar sind, indem sie im Benutzeragenten vorhanden sind.

Eines scheint jedoch ein ernsthafterer Angriffsversuch zu sein:

72.229.125.183 - - [26/Sep/2014:18:16:48 -0400] "GET /" 400 464 "-" "-"
72.229.125.183 - - [26/Sep/2014:18:16:48 -0400] "GET /tmUnblock.cgi HTTP/1.1" 400 303 "-" "-"

Es gibt ungefähr 4 davon in meinen Protokollen, alle von verschiedenen IPs, alle von nachdem Shellshock veröffentlicht wurde. Ihre IPs stammen alle aus seltsamen, nicht verwandten Quellen, die für Bots plausibel erscheinen.

Der erste scheint ein Scan zu sein (Sicherheitslücke testen?), Dann wird versucht, auf ein CGI-Skript abzuzielen. Im Gegensatz zu White-Hat-Dingen wie dem Erratta-Sicherheitsscan gibt es nichts, was den Zweck des Benutzeragenten preisgibt (nach meinem Verständnis werden bei "schwerwiegenden" Shellshock-Angriffen nicht protokollierte Header verwendet).

Ich habe noch nie von tmUnblock.cgi Gehört und es scheint auf meinem Server nicht zu existieren, daher frage ich meistens aus Neugier (ich hoffe!). Was ist tmUnblock.cgi Und könnte es mit einem Shellshock-Angriff ins Visier genommen werden?

Meine eigenen Versuche, tmUnblock.cgi zu recherchieren, endeten in Verwirrung. Es scheint im Zusammenhang mit einem ausnutzbaren Fehler in Linksys-Routern, der im Februar 2014 entdeckt wurde , der mit der Ausführung von Shell-Befehlen in Zusammenhang zu stehen scheint, und scheint in der Vergangenheit zur Verbreitung von Würmern verwendet worden zu sein , aber das ist alles was ich finden kann.

tmUnblock.cgi ist eine binäre CGI-Datei, die in einigen Cisco/Linksys-Router-Firmwares ausführbar ist und mehrere Sicherheitslücken aufweist, die verschiedene Angriffe auf den Router ermöglichen. Es hat nichts mit der Sicherheitsanfälligkeit "Shellshock" zu tun.

Sofern Ihr "kleiner Webserver" nicht auf einem Cisco/Linksys-Router mit Standard-Firmware ausgeführt wird, sind die Protokolleinträge kein Grund zur Sorge.

15
Mark

die Anfrage stammt wahrscheinlich von jemandem, der https://github.com/gry/Shellshock-scanner verwendet. Sie wird dort in der cig_list_example.txt erwähnt ^^ Also , irgendwie hat es IS mit Shellshock zu tun

3
leberknecht

In Bezug auf die Datei cgi_list_example.txt von Shellshock-scanner hat die Aufnahme von tmUnblock.cgi in die Liste möglicherweise nichts mit Shellshock zu tun. Ich habe diese Liste mit einigen CGIs von verschiedenen Orten erstellt. Einige davon wurden aus meinen eigenen Protokollen als "mögliche anfällige CGIs" übernommen (nur für den Fall, dass ich sie teste).

Andere stammen von anderen Posts/Pocs, die ich dort herausgefunden habe. Wahrscheinlich sind einige wirklich nicht mit Shellshock verwandt.

3
Gryphus