HTTP Vulnerable (Vulnerable HTTP Report)

Este informe identifica hosts que tienen el servicio de Protocolo de Transferencia de Hipertexto (HTTP) ejecutándose en algún puerto que puede tener una vulnerabilidad.

Actualmente se centra en dos vulnerabilidades:

  • Zimbra Communication Suite : una  vulnerabilidad CVE-2022-37042 descubierta por Volexity (blog publicado el 10 de agosto de 2022) que permite la ejecución remota de código y ha sido explotada en la naturaleza desde al menos junio de 2022. Esta vulnerabilidad fue parcheada en las versiones de Zimbra ZCS 9.0.0 Parche 26 y ZCS 8.8.15 Parche 33, 28 de julio de 2022 . Si recibe un informe sobre una IP etiquetada como «cve-2022-37042», es probable que sea vulnerable a este exploit y posiblemente ya esté comprometido (lo que puede implicar que un atacante instale un webshell). Tenga en cuenta que Shadowserver hace esta evaluación completamente en el tiempo de compilación de ZCS y etiquetando todas las versiones anteriores al 2022-07-26 como vulnerables. Por lo tanto, existe la posibilidad de falsos positivos.
  • Hosts HTTP que implementan la autenticación básica en HTTP simple. Estos se etiquetarán como «basic-auth» en el mensaje del informe.

Es posible que se agreguen otras vulnerabilidades en el futuro a este informe.

Para obtener un informe sobre todos los hosts HTTP accesibles (incluidos aquellos sin vulnerabilidades), consulte el Informe HTTP accesible.

Para obtener más información sobre los esfuerzos de escaneo, consulte la página de resumen de escaneo de Internet.

Nombre(s) de archivo: scan_http_vulnerable, scan6_http_vulnerable

CAMPOS

timestampHora en que se sondeó la IP en UTC+0
ipLa dirección IP del dispositivo en cuestión.
protocolProtocolo en el que se produjo la respuesta HTTP (siempre TCP)
portPuerto del que provino la respuesta HTTP
hostnameNombre DNS inverso del dispositivo en cuestión
tagInformación de etiqueta adicional sobre el host, por ejemplo, «basic-auth»
asnASN de donde reside el dispositivo en cuestión
geoPaís donde reside el dispositivo en cuestión
regionEstado/Provincia/Región administrativa donde reside el dispositivo en cuestión
cityCiudad en la que reside el dispositivo en cuestión
naicsCódigo del sistema de clasificación de la industria de América del Norte
sicCódigo del sistema de clasificación industrial estándar
httpVersión del protocolo de transferencia de hipertexto
http_codeCódigo de respuesta HTTP: por ejemplo, 200, 401, 404
http_reasonEl motivo del texto para ir con el código HTTP
content_typeEl tipo MIME del cuerpo de la solicitud (usado con solicitudes POST y PUT)
connectionOpciones de control para la conexión actual y lista de campos de solicitud salto por salto
www_authenticateIndica el esquema de autenticación que se debe utilizar para acceder a la entidad solicitada
set_cookieLa cookie HTTP que se establecerá
serverTipo de servidor HTTP
content_lengthLa longitud del cuerpo de respuesta en octetos
transfer_encodingLa forma de codificación utilizada para transferir de forma segura la entidad al usuario.
http_dateLa fecha y hora en que se envió el mensaje.

EJEMPLO

timestamp,ip,protocol,port,hostname,tag,asn,geo,region,city,naics,sic,http,http_code,http_reason,content_type,connection,www_authenticate,set_cookie,server,content_length,transfer_encoding,http_date,version,build_date
"2010-02-10 00:00:00",192.168.0.1,tcp,8080,node01.example.com,"basic-auth,http",64512,ZZ,Region,City,0,0,HTTP/1.1,401,Unauthorized,"text/html; charset=utf-8",,"Basic realm=\"\"OpenWebif\"\"",TWISTED_SESSION=5473ad3faa3de66685fb3a53bffb390b4fcec2039893009a06caf38e1bec8aa8,TwistedWeb/19.7.0,149,,"Wed, 10 Feb 2010 00:00:00 GMT",,
"2010-02-10 00:00:01",192.168.0.2,tcp,80,node02.example.com,"basic-auth,http",64512,ZZ,Region,City,0,0,HTTP/1.1,401,Unauthorized,"text/html; charset=utf-8",,"Basic realm=\"\"OpenWebif\"\"",TWISTED_SESSION=d2460d37b7fdbdd6c27dd74423ead5704e553d4f2c230672313edc5602059e33,TwistedWeb/19.7.0,149,,"Wed, 10 Feb 2010 00:00:01 GMT",,
"2010-02-10 00:00:02",192.168.0.3,tcp,8080,node03.example.com,"basic-auth,http",64512,ZZ,Region,City,0,0,HTTP/1.1,401,Unauthorized,"text/html; charset=utf-8",,"Basic realm=\"\"OpenWebif\"\"",TWISTED_SESSION=cf27d6c5655f80964756b1de32917d78d320324c7ba184df8e793359fd19b1e1,TwistedWeb/16.4.0,149,,"Wed, 10 Feb 2010 00:00:02 GMT",,

Fuente: https://www.shadowserver.org/what-we-do/network-reporting/vulnerable-http-report/