Symantec Endpoint Client のネットワーク脅威防止で発生したイベント。
[検出したリスク (抜粋)]
シグネチャ名: HTTP Hylafax Faxsurvey Remote PW Access
侵入 URL: www.test.jp/test/cgibin/faxsurvey?/bin/cat%20/etc/passwd
リモート IP: 103.249.28.163
ローカルポート: 80
リモートポート: 1740
[調査]
Hylafax とは?
Fax 送受信に使われる古いパッケージ。
この中に faxsurvey というコマンドがあり、入力チェックをしない不具合がある。
①faxsurvey パッケージは入っていない。
②Symantec はこの通信をブロックした。
攻撃元 IP アドレスはファイヤーウォールで止めたけど、特に問題のないイベントでした。
登録:
コメントの投稿 (Atom)
0 コメント:
コメントを投稿