Este informe identifica hosts que tienen el servicio de Protocolo de Transferencia de Hipertexto (HTTP) ejecutándose en algún puerto que puede tener una vulnerabilidad.
Actualmente se centra en dos vulnerabilidades:
- Zimbra Communication Suite : una vulnerabilidad CVE-2022-37042 descubierta por Volexity (blog publicado el 10 de agosto de 2022) que permite la ejecución remota de código y ha sido explotada en la naturaleza desde al menos junio de 2022. Esta vulnerabilidad fue parcheada en las versiones de Zimbra ZCS 9.0.0 Parche 26 y ZCS 8.8.15 Parche 33, 28 de julio de 2022 . Si recibe un informe sobre una IP etiquetada como «cve-2022-37042», es probable que sea vulnerable a este exploit y posiblemente ya esté comprometido (lo que puede implicar que un atacante instale un webshell). Tenga en cuenta que Shadowserver hace esta evaluación completamente en el tiempo de compilación de ZCS y etiquetando todas las versiones anteriores al 2022-07-26 como vulnerables. Por lo tanto, existe la posibilidad de falsos positivos.
- Hosts HTTP que implementan la autenticación básica en HTTP simple. Estos se etiquetarán como «basic-auth» en el mensaje del informe.
Es posible que se agreguen otras vulnerabilidades en el futuro a este informe.
Para obtener un informe sobre todos los hosts HTTP accesibles (incluidos aquellos sin vulnerabilidades), consulte el Informe HTTP accesible.
Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.
Nombre(s) de archivo: scan_http_vulnerable, scan6_http_vulnerable
CAMPOS
timestamp | Hora en que se sondeó la IP en UTC+0 |
ip | La dirección IP del dispositivo en cuestión. |
protocol | Protocolo en el que se produjo la respuesta HTTP (siempre TCP) |
port | Puerto del que provino la respuesta HTTP |
hostname | Nombre DNS inverso del dispositivo en cuestión |
tag | Información de etiqueta adicional sobre el host, por ejemplo, «basic-auth» |
asn | ASN de donde reside el dispositivo en cuestión |
geo | País donde reside el dispositivo en cuestión |
region | Estado/Provincia/Región administrativa donde reside el dispositivo en cuestión |
city | Ciudad en la que reside el dispositivo en cuestión |
naics | Código del sistema de clasificación de la industria de América del Norte |
sic | Código del sistema de clasificación industrial estándar |
http | Versión del protocolo de transferencia de hipertexto |
http_code | Código de respuesta HTTP: por ejemplo, 200, 401, 404 |
http_reason | El motivo del texto para ir con el código HTTP |
content_type | El tipo MIME del cuerpo de la solicitud (usado con solicitudes POST y PUT) |
connection | Opciones de control para la conexión actual y lista de campos de solicitud salto por salto |
www_authenticate | Indica el esquema de autenticación que se debe utilizar para acceder a la entidad solicitada |
set_cookie | La cookie HTTP que se establecerá |
server | Tipo de servidor HTTP |
content_length | La longitud del cuerpo de respuesta en octetos |
transfer_encoding | La forma de codificación utilizada para transferir de forma segura la entidad al usuario. |
http_date | La fecha y hora en que se envió el mensaje. |
EJEMPLO
timestamp,ip,protocol,port,hostname,tag,asn,geo,region,city,naics,sic,http,http_code,http_reason,content_type,connection,www_authenticate,set_cookie,server,content_length,transfer_encoding,http_date,version,build_date
"2010-02-10 00:00:00",192.168.0.1,tcp,8080,node01.example.com,"basic-auth,http",64512,ZZ,Region,City,0,0,HTTP/1.1,401,Unauthorized,"text/html; charset=utf-8",,"Basic realm=\"\"OpenWebif\"\"",TWISTED_SESSION=5473ad3faa3de66685fb3a53bffb390b4fcec2039893009a06caf38e1bec8aa8,TwistedWeb/19.7.0,149,,"Wed, 10 Feb 2010 00:00:00 GMT",,
"2010-02-10 00:00:01",192.168.0.2,tcp,80,node02.example.com,"basic-auth,http",64512,ZZ,Region,City,0,0,HTTP/1.1,401,Unauthorized,"text/html; charset=utf-8",,"Basic realm=\"\"OpenWebif\"\"",TWISTED_SESSION=d2460d37b7fdbdd6c27dd74423ead5704e553d4f2c230672313edc5602059e33,TwistedWeb/19.7.0,149,,"Wed, 10 Feb 2010 00:00:01 GMT",,
"2010-02-10 00:00:02",192.168.0.3,tcp,8080,node03.example.com,"basic-auth,http",64512,ZZ,Region,City,0,0,HTTP/1.1,401,Unauthorized,"text/html; charset=utf-8",,"Basic realm=\"\"OpenWebif\"\"",TWISTED_SESSION=cf27d6c5655f80964756b1de32917d78d320324c7ba184df8e793359fd19b1e1,TwistedWeb/16.4.0,149,,"Wed, 10 Feb 2010 00:00:02 GMT",,
Fuente: https://www.shadowserver.org/what-we-do/network-reporting/vulnerable-http-report/