intento de ejecución de código de extensión múltiple del SERVIDOR-IIS

1

Sourcefire detectó un evento SERVER-IIS multiple extension code execution attempt y capturó un paquete. Se originó en una IP china, AbuseIPDB tiene varios registros sobre su actividad maliciosa. Algunos de los registros incluyeron una cadena de usuario-agente que menciona Googlebot2.0, pero al hacer una búsqueda de IP inversa, la IP no se resuelve en nada, así que supongo que está falsificada.

Ahora la pregunta es, ¿esta vulnerabilidad es visible en el paquete (.asp + .jpg), o Sourcefire capturó solo uno de los intentos de ejecución? ¿Alguien puede explicar la anatomía de este ataque?

Paquete:

.PV..4.
I.....'#[email protected].!%.
 .....P.**..l..P..<._..HEAD /Ac2.asp;.jpg HTTP/1.1
User-Agent: IE 10.0
Host: www.*****.com
    
pregunta Gabrielius 27.09.2017 - 13:28
fuente

1 respuesta

1

Lo que ve es un intento de explotar una vulnerabilidad de Microsoft IIS (una bastante antigua, de hecho). Encontré esta entrada de blog con documentación y más detalles al respecto:

enlace

El nombre del código para esta vulnerabilidad es CVE-2009-4444.

Este evento no identifica si el atacante tuvo éxito o no, solo muestra que intentaron explotarlo.

    
respondido por el skooog 27.09.2017 - 14:28
fuente

Lea otras preguntas en las etiquetas