Veri merkezinizdeki sunucunuz şayet güncel değilse Windowsun güvenlik zaafiyetini kullanarak içeriden dışarı atak yapılabilir.Bunun için yapılması gereken aslında sadece windows update etmektir ama şayet Fortigate kullanıyorsanız yapılan bu atakları fortigate ips ile de engelleyebilirsiniz.
x.x.x.x ilgili ip adresinizden sürekli saldırı yapılmaktadır. Konuyla ilgili olarak acil ilgilenilmesini rica ederim. İlgili log kayıdı aşağıdaki gibidir.
The following intrusion was observed: “MS.IIS.WebDAV.PROPFIND.ScStoragePathFromUrl.Buffer.Overflow”.
date=2019-02-20 time=07:42:29 devname=******* devid=******** logid=”0419016384″ type=”utm” subtype=”ips” eventtype=”signature” level=”alert” vd=”root” eventtime=1550637749 severity=”critical” srcip=x.x.x.x srccountry=”Turkey” dstip=x.x.*.* srcintf=”wan1″ srcintfrole=”wan” dstintf=”Personel_OUT” dstintfrole=”lan” sessionid=40096519 action=”dropped” proto=6 service=”HTTP” policyid=11 attack=”MS.IIS.WebDAV.PROPFIND.ScStoragePathFromUrl.Buffer.Overflow” srcport=34467 dstport=80 hostname=”localhost” url=”/” direction=”outgoing” attackid=43844 profile=”high_security” ref=”http://www.fortinet.com/ids/VID43844” incidentserialno=1106732223 msg=”applications3: MS.IIS.WebDAV.PROPFIND.ScStoragePathFromUrl.Buffer.Overflow,” crscore=50 crlevel=”critical”
Kaynakları kontrol ettiğimizde bu zaafiyet için Windowsun güncel olmasının bu atağı engellediğini gördüm.Windowsu update ederek bu sorunu çözebilirsiniz.
loglarımızda STUNSHELL atağını gördük,ips te gidip drop et dedik.policymizde bu ips profile ı seçtik.
Savaş Demir teknik@f1teknoloji.com.tr
Yayınlanan yazıların izin alınmadan kopyalanması ve kullanılması 5846 sayılı Fikir ve Sanat Eserleri Yasasına göre suçtur.