Extrañas solicitudes provenientes de los enrutadores EA4350 Linksys

2

He tenido dos enrutadores Linksys EA4350 durante una semana o algo así como mi red interna como puntos de acceso inalámbrico, y de repente comencé a notar solicitudes de ellos una vez por minuto (cuidado de mis registros de apache) pero el tráfico de red indica pide cada 5 segundos.

192.168.1.x - - [19/Nov/2014:10:55:38 -0500] "GET / HTTP/1.1" 302 - "-" "-" 
192.168.1.x - - [19/Nov/2014:10:55:38 -0500] "GET /HNAP1/ HTTP/1.1" 404 2989 "-" "-" 
192.168.1.x - - [19/Nov/2014:10:55:38 -0500] "POST /JNAP/ HTTP/1.1" 404 2987 "-" "-" 
192.168.1.x - - [19/Nov/2014:10:55:38 -0500] "GET /rest/login?next=/ HTTP/1.1" 301 - "-" "-" 
192.168.1.x - - [19/Nov/2014:10:55:38 -0500] "GET /rest/login/?next=/ HTTP/1.1" 200 3634 "-" "-"

Los dos últimos "/ rest / login" son en realidad mi servidor que redirige la primera solicitud "GET /" a mi pantalla de inicio de sesión, ya que / es la única URL válida en mi servidor web (por lo tanto, 302 en lugar de 404).

Donde 192.168.1.x es la IP de mi enrutador Linksys y todo el tráfico está en el puerto 80 (no 8080). He intentado reiniciarlos a la vez, actualizando el firmware a 1.0.3.160602 y poniéndolos en modo puente para deshabilitar "la mayoría" de las funciones. Ninguno de estos tiene ayuda.

NOTA : este enrutador no está expuesto directamente a Internet, pero puede acceder a él desde el exterior. Sospeché el gusano TheMoon, pero demasiados detalles no se suman (Supuestamente, EA4200 es el último vulnerable, no está expuesto directamente a Internet, el reinicio no lo detuvo, el firmware no lo solucionó, puerto incorrecto, etc.)

¿Debo preocuparme de que mi enrutador esté infectado con algo, o es una molestia que solo necesito para filtrar mis registros?

ACTUALIZACIÓN : reasigné cada IP de mi red a una subred completamente diferente (10.xyz), y el tráfico continuó esporádicamente (no una vez por minuto, solo al azar) durante una hora adicional DESPUÉS de la Los cambios de IP (por lo que provienen de las NUEVAS direcciones IP del enrutador) y luego se detuvieron y no se han visto desde hace casi una semana.

    
pregunta Andy 19.11.2014 - 17:24
fuente

1 respuesta

0

Es posible que su enrutador esté buscando vulnerabilidades en otros enrutadores, ciertamente no parece ser el comportamiento esperado.

  • POST / JNAP / es probablemente un intento de explotar CVE-2014-8244
  • GET / HNAP1 / es probablemente la vulnerabilidad utilizada por gusano lunar
  • No pude identificar las URL del resto a una vulnerabilidad específica con una búsqueda rápida.

De acuerdo con el aviso de CERT al que he vinculado la vulnerabilidad de JNAP, debería utilizar una versión mucho más nueva del firmware.

    
respondido por el wireghoul 19.11.2014 - 22:25
fuente

Lea otras preguntas en las etiquetas