Attaque currentsetting.htm

Soumis par drupal_admin le mer 11/11/2020 - 17:00

Novembre 2020 :
Depuis début novembre une nouvelle attaque est apparue, elle se manifeste par des accès qui présentent les caractéristiques suivantes :

  • Accès par IP
  • HTTP ou HTTPS
  • Pas de headers
  • Contenu = "GET /currentsetting.htm HTTP1/1"

Il semble que cette attaque soit dirigée contre des appareils Netgear, mais le terme "currentsettings" est peut-être utilisé dans d'autres logiciels.

Règle de détection pour Suricata  :
drop  tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"Web attack /currentsetting.htm"; flow:established,to_server; content:"/currentsetting.htm"; nocase; classtype:web-application-attack; sid:9005813; rev:1;metadata:created_at 2020-11-02, updated_at 2020-11-02;)

Règle de détection pour Modsecurity :
SecRule REQUEST_URI "@beginsWith /currentsetting.htm" "id:962424,phase:1,t:lowercase,t:removeWhitespace,t:htmlEntityDecode,deny,msg:'Web attack /currentsetting.htm', \
     severity:'CRITICAL' \
    setvar:'tx.msg=%{rule.msg}',status:406"

Il vous faudra bien entendu adapter les identifiants des règles à votre goût.