Sourcefire detectó un evento SERVER-IIS multiple extension code execution attempt
y capturó un paquete. Se originó en una IP china, AbuseIPDB tiene varios registros sobre su actividad maliciosa. Algunos de los registros incluyeron una cadena de usuario-agente que menciona Googlebot2.0, pero al hacer una búsqueda de IP inversa, la IP no se resuelve en nada, así que supongo que está falsificada.
Ahora la pregunta es, ¿esta vulnerabilidad es visible en el paquete (.asp + .jpg), o Sourcefire capturó solo uno de los intentos de ejecución? ¿Alguien puede explicar la anatomía de este ataque?
Paquete:
.PV..4.
I.....'#[email protected].!%.
.....P.**..l..P..<._..HEAD /Ac2.asp;.jpg HTTP/1.1
User-Agent: IE 10.0
Host: www.*****.com