Novembre 2020 :
Depuis début novembre une nouvelle attaque est apparue, elle se manifeste par des accès qui présentent les caractéristiques suivantes :
- Accès par IP (paspar URL)
- HTTP ou HTTPS
- Pas de headers
- Contenu = "GET /currentsetting.htm HTTP1/1"
Il semble que cette attaque soit dirigée contre des appareils Netgear, mais le terme "currentsettings" est peut-être utilisé dans d'autres logiciels.
Règle de détection pour Suricata :
drop tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"Web attack /currentsetting.htm"; flow:established,to_server; content:"/currentsetting.htm"; nocase; classtype:web-application-attack; sid:9005813; rev:1;metadata:created_at 2020-11-02, updated_at 2020-11-02;)
Règle de détection pour Modsecurity :
SecRule REQUEST_URI "@beginsWith /currentsetting.htm" "id:962424,phase:1,t:lowercase,t:removeWhitespace,t:htmlEntityDecode,deny,msg:'Web attack /currentsetting.htm', \
severity:'CRITICAL' \
setvar:'tx.msg=%{rule.msg}',status:406"
Il vous faudra bien entendu adapter les identifiants des règles à votre goût.