HTTP.Request.Smuggling

Para temas relacionados con la detección y prevención de intrusos y accesos no autorizados a la red.
Responder
ggenez
Mensajes: 5
Registrado: 02 Nov 2009, 19:39

HTTP.Request.Smuggling

Mensaje por ggenez »

Estimados amigos,

Desde hace un tiempo estoy recibiendo mensajes de mi forti en el cual me avisa que ciertas maquinas dentro de la LAN estan trantando de hacer ataques a otros dominios en internet.

Les paso la transcripción del mensaje:
Message meets Alert condition
The following intrusion was observed: "http_decoder: HTTP.Request.Smuggling, repeated 2 times".
2009-10-23 06:45:50 device_id=FGT-602905406451 log_id=0419070000 type=ips subtype=signature pri=alert vd=root policyid=72 serial=3265738 attack_id=107347979 severity=critical src=xx.xx.xx.xx dst=65.55.33.119 src_port=2835 dst_port=80 src_int="wan1" dst_int="wan2" status=detected proto=6 service=http user=N/A group=N/A ref="http://www.fortinet.com/ids/VID107347979" count=2 msg="http_decoder: HTTP.Request.Smuggling, repeated 2 times"

Estuve revisando los equipos y no encontrado virus alguno, las bbdd de antivirus estan al dia en estos equipos, pueden decirme si existe algun virus en especial que utiliza este exploit o directamente puede ser un falso positivo?

Saludos cordiales,

Gustavo Genez
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Re: HTTP.Request.Smuggling

Mensaje por gabyrossi »

hola, como estas?

2 cosas raras:

1- dst=65.55.33.119 (ip de microsoft)
2- src_int="wan1" dst_int="wan2 (source wan1 ??? y destino wan2 ?????)

viste el link?
[Debes identificarte para poder ver enlaces.]

tenes server web? las ips internas tienen algun web server? apache u otro intalado?

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
ggenez
Mensajes: 5
Registrado: 02 Nov 2009, 19:39

Re: HTTP.Request.Smuggling

Mensaje por ggenez »

Hola Gabriel,

WAN1 es la conexion VPN con las Sucursales y WAN2 es la salida a internet por esa razón sale de esa manera, te paso otro documento de una PC de la LAN interna.

Te hago destacar que no tenemos servidores web publicando en nuestro dominio externo. Tenemos una intranet un IIS, pero hasta donde yo encuentro los ataques ocurren desde o hacia nuestra LAN.

Este es un ejemplo de una parada de intrusión externa.
Message meets Alert condition
The following intrusion was observed: "http_decoder: HTTP.Request.Smuggling".
2009-11-02 11:45:09 device_id=FGT-602905403973 log_id=0419070000 type=ips subtype=signature pri=alert vd=root policyid=63 serial=5208379 attack_id=107347979 severity=critical src=69.89.66.226 dst=xx.xx.xx.xx src_port=80 dst_port=4690 src_int="wan2" dst_int="interna" status=detected proto=6 service=4690/tcp user=N/A group=N/A ref="http://www.fortinet.com/ids/VID107347979" count=1 msg="http_decoder: HTTP.Request.Smuggling"

Este es un ejemplo de una parada de un intento de hacer una intrusión desde nuestra lan
Message meets Alert condition
The following intrusion was observed: "http_decoder: HTTP.Request.Smuggling".
2009-10-26 08:18:29 device_id=FGT-602905406451 log_id=0419070000 type=ips subtype=signature pri=alert vd=root policyid=63 serial=3798816 attack_id=107347979 severity=critical src=xx.xx.xx.xx dst=74.125.45.18 src_port=1225 dst_port=80 src_int="interna" dst_int="wan2" status=detected proto=6 service=http user=N/A group=N/A ref="http://www.fortinet.com/ids/VID107347979" count=1 msg="http_decoder: HTTP.Request.Smuggling"

Agradezco mucho el interes, saludos cordiales,

Gustavo Genez
Avatar de Usuario
gabyrossi
Mensajes: 10899
Registrado: 30 Oct 2007, 19:47

Re: HTTP.Request.Smuggling

Mensaje por gabyrossi »

hola, si no tienes server o pc con tengan una aplicacion web, es un falso positivo.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
fstrier
Mensajes: 55
Registrado: 13 Nov 2008, 14:50

Re: HTTP.Request.Smuggling

Mensaje por fstrier »

Hola, me ocurre exactamente lo mismo... parece que es un problema del FortiOS... yo estoy usando 3.0 MR7 patch 10.

Revisamos el server de correo, donde nos aparece esto, y me da la impresión que es un falso positivo. Siempre lo pone en dirección saliente, como si este equipo fuera un zombie.

FortiOS 4.00 usa las mismas firmas de IPS?

Creo que vamos a deshabilitar esta firma porque no aporta nada y llena el log del IPS.
Responder