ハニーポット観察日記としての定期アウトプットです。
観察期間:2018年 11月24日 00:00:00 - 11月30日 23:59:59
CVE
CVE | 検知した回数 |
---|---|
CVE-2005-4050 | 165 |
CVE-2017-7269 | 6 |
CVE-2015-1427 | 4 |
CVE-2017-0143 | 2 |
CVE-2003-0818 | 1 |
CVE-2005-4050が165回もありますね。 あとは久々に新しいCVEがありました。
以前紹介したCVE記事まとめはこちら
CVE-2015-1427
CVESCORE
7.5
概要
The Groovy scripting engine in Elasticsearch before 1.3.8 and 1.4.x before 1.4.3 allows remote attackers to bypass the sandbox protection mechanism and execute arbitrary shell commands via a crafted script.
Elasticsearchの脆弱性のようです。 shell コマンドが実行される可能性がある。
評価値
評価基準名 | 評価値 | 備考 |
---|---|---|
攻撃元区分(AV) | ネットワーク | |
攻撃条件の複雑さ(AC) | 低(Low) | アクセス条件や特別な権限は必要なし |
攻撃前の承認要否(Au) | 必要なし(Not Required) | - |
機密性への影響(C) | 部分的(Partial) | 一部のファイル閲覧できる可能性があり。 |
完全性への影響( I ) | 部分的(Partial) | 一部のファイルが書き換えられる危険性があり。 |
可用性への影響(A) | 部分的(Partial) | 一部の可用性が損なわれる可能性あり |
JVN
JVNDB-2015-001538 - JVN iPedia - 脆弱性対策情報データベース
セキュリティニュース
CVE-2015-1427 ElasticSearch Search Groovy Sandbox Bypass | Rapid7
攻撃種別
攻撃種別 | カウント数 | % |
---|---|---|
known attacker | 19021 | 82.53% |
bad reputation | 2681 | 15.97% |
その他 | - | - |
マルウェア
Total: 9
ファイル名 | タイプ | 取得日時 | 検出率 |
---|---|---|---|
tmpj9tGV6 | ELF 32-bit LSB executable | 2018/11/25 00:03:11 | 39/58 |
tmpLGyqiI | ELF 32-bit LSB executable | 2018/11/25 00:57:58 | 39/58 |
tmpo0th8I | ELF 32-bit LSB executable | 2018/11/25 14:54:52 | 39/58 |
tmpPLt9Jc | ELF 32-bit LSB executable | 2018/11/26 03:32:48 | 40/57 |
tmpEQLbt4 | ELF 32-bit LSB executable | 2018/11/27 00:46:45 | 40/57 |
tmpltJxFI | ELF 32-bit LSB executable | 2018/11/27 13:16:16 | 40/57 |
tmpJo0Ros | ELF 32-bit LSB executable | 2018/11/27 16:12:50 | 40/57 |
tmptrpI_m | ELF 32-bit LSB executable | 2018/11/27 19:40:51 | 40/57 |
tmpsTVTvb | ELF 32-bit LSB executable | 2018/11/28 19:39:45 | 39/58 |
所感
集計結果を出す時間を測るの忘れた・・・・ 工数計算しなければ。
というよりは、マルウェア解析はスクリプトは大丈夫なのだが、zipファイルが想定しているものが来ない・・・ まだ調整が必要そうです。