¿Qué es “tmUnblock.cgi” y puede ser explotado por Shellshock? (Servidor web Linux / Apache)

Navega tus respuestas
14

Encontré lo que parece ser un posible intento de ataque Shellshock dirigido a tmUnblock.cgi , y estoy tratando de entenderlo.

Estuve revisando los registros de acceso de Apache en busca de un pequeño servidor web durante el período entre el fallo de Shellshock y el servidor que se está parchando, buscando entradas sospechosas .

Obtiene poco tráfico, por lo que es posible para mí leer todo el registro de acceso y detectar entradas inusuales. Estos son, en su mayoría, exploraciones de "sombrero blanco" como Escaneo de Shellshock de Seguridad de erratas " de Internet ", con los intentos de Shellshock visibles en la entrada del registro a través de estar presente en el agente de usuario.

Uno, sin embargo, parece que podría ser un intento de ataque más serio: 

72.229.125.183 - - [26/Sep/2014:18:16:48 -0400] "GET /" 400 464 "-" "-"
72.229.125.183 - - [26/Sep/2014:18:16:48 -0400] "GET /tmUnblock.cgi HTTP/1.1" 400 303 "-" "-"

Hay alrededor de 4 de estos en mis registros, todos de diferentes direcciones IP, todos desde la publicación de Shellshock. Todos sus IP provienen de fuentes extrañas no relacionadas que parecen plausibles para los bots.

El primero parece ser un escaneo (¿prueba de vulnerabilidad?), luego hay un intento de apuntar a un script cgi. A diferencia de White Hat, como el análisis de seguridad de Erratta, no hay nada que revele su propósito en el agente de usuario (según tengo entendido que los ataques Shellshock "serios" usarán encabezados que no están registrados).

Nunca he oído hablar de tmUnblock.cgi y no parece que exista en mi servidor, así que la mayoría lo pregunto por curiosidad (¡espero!). ¿Qué es tmUnblock.cgi y es algo que podría ser atacado con un ataque de shell shock?

Mis propios intentos de investigar tmUnblock.cgi terminaron en confusión. Parece asociado a un error explotable en los enrutadores de Linksys descubierto en febrero de 2014 , que parece estar relacionado con la ejecución de comandos de shell y parece haberse utilizado para propagar gusanos en el pasado , pero eso es todo lo que puedo encontrar.

    
pregunta user568458 27.09.2014 - 02:06
fuente

3 respuestas

14

tmUnblock.cgi es un ejecutable CGI binario en algunos firmwares Cisco / Linksys router que tiene varios agujeros de seguridad que permiten varios ataques en el router. No está relacionado con la vulnerabilidad "shellshock".

A menos que su "pequeño servidor web" se esté ejecutando de alguna manera en un enrutador Cisco / Linksys con firmware original, las entradas del registro no son nada de qué preocuparse.

    
respondido por el Mark 27.09.2014 - 07:41
fuente
3

la solicitud probablemente se origina en alguien que usa enlace Se menciona en el cig_list_example.txt allí ^^ Entonces, de alguna manera, está relacionado con el shell shock

    
respondido por el leberknecht 07.10.2014 - 23:06
fuente
3

Sobre el cgi_list_example.txt de shellshock-scanner, la inclusión de tmUnblock.cgi en la lista tal vez no esté relacionada con shellshock. Hice esa lista tomando algunos CGI de diferentes lugares, algunos de ellos han sido tomados de mis propios registros como "posibles cgis vulnerables" (en caso de que los analice).

Otros son de otros posts / pocs que encontré por ahí. Probablemente algunos no estén realmente relacionados con el shell shock.

    
respondido por el Gryphus 08.10.2014 - 10:01
fuente

Lea otras preguntas en las etiquetas

Rompiendo hashes MS-CACHE v2 usando GPU Cuando compra un certificado, ¿la autoridad de certificación tiene (una copia de) la clave privada?