Рейтинг:0

Странный/неизвестный журнал аудита Sonicwall — загрузка не удалась в различных .exe

флаг jp

Простой вопрос. Эти записи в журнале начали ежедневно появляться на нашем Sonicwall, я никогда раньше не видел ничего подобного. Сначала я подумал, что это очередной бот, ищущий уязвимости, любое понимание, которое у вас может быть, ценится, конкретно то, что они могут пытаться использовать

Прошивка Соникволла: SonicOS улучшенная 6.5.4.9-92n

Логи в CSV:

AuditID Transaction_Id Время Группа Audit_Path Индекс Описание Старый Новый Статус UUID Режим сеанса пользователя Интерфейс отправителя-получателя
0 1 18:24:42 05 января 2022 г. Загрузить файл /scripts/cgi-bin/cbag/ag.exe Ошибка 146.70.38.12 (36825) <наш внешний адрес> (700) X1
1 2 18:24:48 Янв 05 2022 Скачать файл grn.exe Ошибка 146.70.38.12 (44723) <наш внешний адрес> (700) X1
2 3 18:24:50 Янв 05 2022 Скачать файл ag.exe Ошибка 146.70.38.12 (50973) <наш внешний адрес> (700) X1
3 4 18:24:54 05 января 2022 г. Скачать файл /cgi-bin/cbag/ag.exe Ошибка 146.70.38.12 (55745) <наш внешний адрес> (700) X1
4 5 18:24:56 Янв 05 2022 Скачать файл db.exe Ошибка 146.70.38.12 (39315) <наш внешний адрес> (700) X1
5 6 18:24:58 Янв 05 2022 Скачать файл mw.exe Ошибка 146.70.38.12 (37489) <наш внешний адрес> (700) X1
6 7 18:25:20 05 января 2022 г. Скачать файл /scripts/cgi-bin/cbag/ag.exe Ошибка 146.70.38.12 (60097) <наш внешний адрес> (85) X1
7 8 18:25:22 Янв 05 2022 Скачать файл grn.exe Ошибка 146.70.38.12 (44205) <наш внешний адрес> (85) X1
8 9 18:25:23 Янв 05 2022 Скачать файл ag.exe Ошибка 146.70.38.12 (59829) <наш внешний адрес> (85) X1
9 10 18:25:25 Янв 05 2022 Скачать файл /cgi-bin/cbag/ag.exe Не удалось 146.70.38.12 (51061) <наш внешний адрес> (85) X1
10 11 18:25:25 Янв 05 2022 Скачать файл db.exe Ошибка 146.70.38.12 (35567) <наш внешний адрес> (85) X1
11 12 18:25:26 05 янв 2022 Скачать файл mw.exe Ошибка 146.70.38.12 (39315) <наш внешний адрес> (85) X1
Рейтинг:0
флаг in

Я также вижу эти же записи от 10 января 22 года, но с ip 45.133.173.12. Это на TZ370. Открыл кейс с Sonicwall, пытаясь получить больше информации. Объяснений пока нет.

РЕДАКТИРОВАТЬ - Я задал вопрос и в твиттере. см. ответ от @Sonicwalltech

«Мы поговорили с нашей командой PSIRT. Похоже, что трафик соответствует запросам автоматического сканера для выявления известных уязвимостей. Строки «URI», показанные на снимке экрана, связаны с известным эксплойтом для Cybozu, https://exploit-db.com/exploits/2266, но IP может быть заблокирован."

https://twitter.com/SonicWallTech/status/1485714306951958533

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.