ばぁど・うぉっちんぐ

セキュリティを頑張りたいプログラマ。自由と春を求めて羽ばたく渡り鳥。

ばぁどのハニーポット・うぉっちんぐ - 2018/11/24 ~ 2018/11/30 -

ハニーポット観察日記としての定期アウトプットです。

観察期間:2018年 11月24日 00:00:00 - 11月30日 23:59:59

CVE

CVE 検知した回数
CVE-2005-4050 165
CVE-2017-7269 6
CVE-2015-1427 4
CVE-2017-0143 2
CVE-2003-0818 1

CVE-2005-4050が165回もありますね。 あとは久々に新しいCVEがありました。

以前紹介したCVE記事まとめはこちら

ultrabirdtech.hatenablog.com

CVE-2015-1427

CVESCORE

7.5

概要

The Groovy scripting engine in Elasticsearch before 1.3.8 and 1.4.x before 1.4.3 allows remote attackers to bypass the sandbox protection mechanism and execute arbitrary shell commands via a crafted script.

Elasticsearchの脆弱性のようです。 shell コマンドが実行される可能性がある。

評価値

評価基準名 評価値 備考
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC) 低(Low) アクセス条件や特別な権限は必要なし
攻撃前の承認要否(Au) 必要なし(Not Required) -
機密性への影響(C) 部分的(Partial) 一部のファイル閲覧できる可能性があり。
完全性への影響( I ) 部分的(Partial) 一部のファイルが書き換えられる危険性があり。
可用性への影響(A) 部分的(Partial) 一部の可用性が損なわれる可能性あり

www.cvedetails.com

JVN

JVNDB-2015-001538 - JVN iPedia - 脆弱性対策情報データベース

セキュリティニュース

CVE-2015-1427 ElasticSearch Search Groovy Sandbox Bypass | Rapid7

攻撃種別

f:id:UltraBirdTech:20181201073341p:plain

攻撃種別 カウント数 %
known attacker 19021 82.53%
bad reputation 2681 15.97%
その他 - -

マルウェア

Total: 9

ファイル名 タイプ 取得日時 検出率
tmpj9tGV6 ELF 32-bit LSB executable 2018/11/25 00:03:11 39/58
tmpLGyqiI ELF 32-bit LSB executable 2018/11/25 00:57:58 39/58
tmpo0th8I ELF 32-bit LSB executable 2018/11/25 14:54:52 39/58
tmpPLt9Jc ELF 32-bit LSB executable 2018/11/26 03:32:48 40/57
tmpEQLbt4 ELF 32-bit LSB executable 2018/11/27 00:46:45 40/57
tmpltJxFI ELF 32-bit LSB executable 2018/11/27 13:16:16 40/57
tmpJo0Ros ELF 32-bit LSB executable 2018/11/27 16:12:50 40/57
tmptrpI_m ELF 32-bit LSB executable 2018/11/27 19:40:51 40/57
tmpsTVTvb ELF 32-bit LSB executable 2018/11/28 19:39:45 39/58

所感

集計結果を出す時間を測るの忘れた・・・・ 工数計算しなければ。

というよりは、マルウェア解析はスクリプトは大丈夫なのだが、zipファイルが想定しているものが来ない・・・ まだ調整が必要そうです。