web-dev-qa-db-ja.com

「tmUnblock.cgi」とは何ですか?Shellshockで悪用される可能性はありますか? (Linux / Apacheウェブサーバー)

tmUnblock.cgiを狙ったシェルショック攻撃の可能性のあるものを見つけたので、それを理解しようとしています。


Shellshockのバグがニュースになってからサーバーにパッチが適用されるまでの間、小さなWebサーバーのApacheアクセスログをチェックして、 疑わしいエントリ を探していました。

トラフィックが少ないため、実際にアクセスログ全体を読んで異常なエントリを見つけることができます。これらは主に Errata Securityの「Shellshock Scan of the Internet」 などの「ホワイトハット」スキャンであり、Shellshockの試行は存在することでログエントリに表示されますユーザーエージェント内。

ただし、より深刻な攻撃の試みのようです。

72.229.125.183 - - [26/Sep/2014:18:16:48 -0400] "GET /" 400 464 "-" "-"
72.229.125.183 - - [26/Sep/2014:18:16:48 -0400] "GET /tmUnblock.cgi HTTP/1.1" 400 303 "-" "-"

Shellshockが公表された後のすべての異なるIPからの私のログには、これらの約4つがあります。それらのIPはすべて、ボットにとってもっともらしいと思われる奇妙な無関係のソースからのものです。

最初はスキャン(テストの脆弱性?)のように見え、次にcgiスクリプトをターゲットにする試みがあります。 Erratta Securityスキャンのような白い帽子のものとは異なり、ユーザーエージェントでその目的を提供するものは何もありません(「深刻な」Shellshock攻撃はログに記録されないヘッダーを使用することを理解しています)。

私はtmUnblock.cgiについて聞いたことがなく、サーバーに存在しないように見えるので、私はたいてい好奇心を求めています(私はそう思います!)。 tmUnblock.cgiとは何ですか?それはShellshock攻撃の対象になる可能性があるものですか?

TmUnblock.cgiを調査するための私自身の試みは混乱に終わりました。それは 2014年2月に発見されたLinksysルーターの悪用可能なバグに関連しているようです 、これはシェルコマンドの実行に関連していると思われ、 過去にワームを増殖させるために使用されたようです が、私が見つけることができるすべてです。

tmUnblock.cgiは、ルータへのさまざまな攻撃を許可する複数のセキュリティホールを持つ、いくつかのCisco/LinksysルータファームウェアのバイナリCGI実行可能ファイルです。 「シェルショック」の脆弱性とは無関係です。

「小さなWebサーバー」が何らかの方法でCisco/Linksysルーター上でストックファームウェアで実行されていない限り、ログエントリは心配する必要はありません。

15
Mark

リクエストはおそらく https://github.com/gry/Shellshock-scanner を使用している誰かから発信されていますそこのcig_list_example.txtに記載されています^^だから、どういうわけかIS関連シェルショックへ

3
leberknecht

Shellshock-scannerのcgi_list_example.txtについて、リストにtmUnblock.cgiが含まれていることは、おそらくShellshockとは無関係です。私は、さまざまな場所からいくつかのCGIを取り、そのリストを作成しました。それらのいくつかは、自分のログから「潜在的な脆弱なcgis」として取得されています(私がそれらをテストする場合に備えて)。

その他は、私が見つけた他の投稿/ pocsからのものです。おそらく、いくつかは本当にShellshockに関連していないものです。

3
Gryphus