首頁 > 技術支持 > 升級公告 > 每周升級公告

2020-06-23

發布時間 2020-06-24

新增事件


事件名稱:

HTTP_安全漏洞_Exchange_遠程代碼執行漏洞[CVE-2020-0688]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在試圖通過Exchange郵件服務器遠程執行命令漏洞攻擊目的IP主機的行為。漏洞原因是Exchange服務器在安裝時沒有正確創建唯一的加密密鑰。導致經過身份驗證的攻擊者可以通過Exchange默認開啟的Web頁面登錄,發送精心構造的請求,欺騙目標服務器反序列化惡意創建的數據,來達到在目標服務器上以 SYSTEM 身份執行任意.net代碼的目的。

更新時間:

20200623











修改事件


事件名稱:

HTTP_類菜刀流量_響應

安全類型:

木馬后門

事件描述:

中國菜刀是中國黑客圈內使用非常廣泛的一款Webshell管理工具。中國菜刀用途十分廣泛,支持多種語言,小巧實用,具有文件管理(有足夠的權限時候可以管理整個磁盤/文件系統),數據庫管理,虛擬終端等功能。對于這類管理工具,如果沒有大量的修改服務端腳本代碼,其返回流量都會有一些常見的特征,本條規則將常見的共同特征提取出來進行防御性報警。由于此事件為較為寬泛的通用特征,可能存在誤報,請參考特征性質判斷字段進行判斷。

更新時間:

20200623












事件名稱:

DNS_木馬_可疑礦池域名解析請求

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了挖礦木馬。

更新時間:

20200623







事件名稱:

HTTP_svn敏感文件訪問

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在對目的主機進行HTTP_svn敏感文件訪問。

Svn是常見的版本控制工具,在錯誤配置的情況下,svn敏感文件暴露在WEB路徑中,通過訪問svn文件,黑客可以獲取網站源碼等信息。

更新時間:

20200623









事件名稱:

HTTP_Nexus_Repository_Manager_3遠程代碼執行漏洞[CVE-2019-7238]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正試圖通過Nexus Repository Manager 3代碼執行漏洞攻擊目的IP主機。

Nexus Repository Manager 3由于訪問控制不足,攻擊者可以利用該缺陷構造特定的請求在服務器上未授權執行Java代碼,從而達到遠程代碼執行的目的。

漏洞存在的版本:

Nexus Repository Manager OSS/Pro 3.x - 3.14.0

更新時間:

20200623












事件名稱:

HTTP_JBOSS_反序列化_命令執行漏洞[CVE-2017-12149]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在對可能存在漏洞(CVE-2017-12149)的頁面實施攻擊

影響JBossAS 5.x/6.x 版本。

更新時間:

20200623








事件名稱:

TCP_RDP遠程桌面登錄口令窮舉

安全類型:

窮舉探測

事件描述:

檢測到源IP地址主機正在向目的IP地址主機遠程桌面登錄口令猜解的行為。

遠程桌面連接組件是從Windows 2000 Server開始由微軟公司提供的,在WINDOWS 2000 SERVER中他不是默認安裝的。該組件一經推出受到了很多用戶的擁護和喜好,所以在WINDOWS     WINDOWS2003開啟方法和XP類似,同樣對操作步驟進行了簡化。方法如下:

第一步:在桌面“我的電腦”上點鼠標右鍵,選擇“屬性”。XP2003中微軟公司將該組件的啟用方法進行了改革,我們通過簡單的勾選就可以完成在XP2003下遠程桌面連接功能的開啟。如果目標主機開啟了遠程終端服務,默認端口是3389,攻擊者通過多次嘗試用戶名和密碼的方式來猜解用戶口令,如果被猜中攻擊者就可以獲得當前用戶的所有權限,進而有有可能獲得管理員權限。

第二步:在彈出的系統屬性窗口中選擇“遠程”標簽。

第三步:在遠程標簽中找到“遠程桌面”,在“容許用戶連接到這臺計算機”前對勾去掉后確定即可完成遠程桌面連接功能的關閉。

口令窮舉探測類事件定義為:在源IP地址與目的IP地址相同的情況下,統計單位時間內登錄失敗的次數,默認為一分鐘內登錄失敗的次數超過20次,就會觸發口令窮舉事件,該事件的默認動作是阻斷源地址。需特別說明的是,若IPSWAF設備串行部署在啟用NAT(Network Address Translation,網絡地址轉換)的網絡環境中,多個真實的源IP可能被轉換成一個源IP,極端情況下,多個用戶的正常登陸失敗嘗試也可能會觸發口令窮舉探測事件,此時可以考慮將該事件的默認響應動作修改為通過,以免影響正常業務。

更新時間:

20200623



























事件名稱:

HTTP_JACKSON-databind_遠程代碼執行[CVE-2020-9546/9547/9548]

安全類型:

安全漏洞

事件描述:

CMS攻擊檢測到源IP主機正在利用HTTP_JACKSON-databind_遠程代碼執行[CVE-2020-9548]攻擊目的IP主機的行為。

更新時間:

20200623








事件名稱:

TCP_MS_RDP遠程桌面_建立低安全性連接

安全類型:

安全審計

事件描述:

檢測到目的IP主機已經同意以低于CreedSSP的安全協議與源IP主機的遠程桌面進行連接。由于低版本的遠程桌面安全性較低,連接可能存在一定安全隱患。

更新時間:

20200623









上一篇 下一篇