首頁 > 技術支持 > 升級公告 > 每周升級公告

2020-07-07

發布時間 2020-07-09

新增事件


事件名稱:

HTTP_代碼執行_Liferay_Portal_遠程代碼執行[CVE-2020-7961]

安全類型:

安全漏洞

事件描述:

Liferay是一個開源的Portal(認證)產品,提供對多個獨立系統的內容集成,為企業信息、流程等的整合提供了一套完整的解決方案,和其他商業產品相比,Liferay有著很多優良的特性,而且免費,在全球都有較多用戶。在Liferay6.1.x-7.2.x版本中存在通過未授權訪問的api構造json語句導致反序列化漏洞進而執行攻擊者代碼命令的漏洞。

更新時間:

20200707











事件名稱:

HTTP_F5_BIG_IP_遠程代碼執行漏洞[CVE-2020-5902]

安全類型:

安全漏洞

事件描述:

F5 BIG-IP是美國F5公司的一款集成網絡流量管理,應用程序安全管理,負載均衡等功能的應用交付平臺。

更新時間:

20200707








事件名稱:

DNS_后門_Worm.Morto_連接

安全類型:

蠕蟲病毒

事件描述:

檢測到蠕蟲Morto試圖連接遠程服務器。源IP所在的主機可能被植入了Morto。

Morto是一種蠕蟲,利用RDP即遠程桌面協議來傳播。Morto里內嵌了常見弱口令,利用弱口令登錄遠程桌面成功,即把自身傳播過去。截止到目前,在國內仍然非?;钴S。

Morto通過DNS協議與其C&C通信,可以執行C&C發送來的各種命令,如下載、DDoS攻擊等。

更新時間:

20200707












事件名稱:

HTTP_安全漏洞_Apache_Shiro_身份驗證繞過漏洞[CVE-2020-11989]

安全類型:

安全漏洞

事件描述:

Apache Shiro是一個強大且易用的Java安全框架,它可以用來執行身份驗證、授權、密碼和會話管理。目前常見集成于各種應用中進行身份驗證,授權等。對于Apache Shiro 1.5.3之前的版本,當將Apache ShiroSpring控制器一起使用時,攻擊者特制請求可能會導致身份驗證繞過。

更新時間:

20200707










事件名稱:

HTTP_通達OA_前臺任意用戶登錄漏洞

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在使用HTTP_通達OA_前臺任意用戶登錄漏洞對目的IP主機進行攻擊的行為。該漏洞可造成前臺無需密碼登錄管理員賬號,攻擊者利用漏洞進入后臺后可配合文件上傳漏洞獲取服務器控制權,危害嚴重。

更新時間:

20200707










修改事件


事件名稱:

HTTP_類菜刀流量_響應

安全類型:

木馬后門

事件描述:

中國菜刀是中國黑客圈內使用非常廣泛的一款Webshell管理工具。中國菜刀用途十分廣泛,支持多種語言,小巧實用,具有文件管理(有足夠的權限時候可以管理整個磁盤/文件系統),數據庫管理,虛擬終端等功能。對于這類管理工具,如果沒有大量的修改服務端腳本代碼,其返回流量都會有一些常見的特征,本條規則將常見的共同特征提取出來進行防御性報警。由于此事件為較為寬泛的通用特征,可能存在誤報,請參考特征性質判斷字段進行判斷。

更新時間:

20200707












事件名稱:

HTTP_認證請求

安全類型:

安全審計

事件描述:

該事件表明有用戶正在向HTTP服務器發送基本認證請求。

HTTP基本認證不同于SSL,SSL提供對敏感數據加密傳輸的機制,而HTTP基本認證提供了對受保護資源的訪問控制策略。

HTTP協議進行通信的過程中,HTTP協議定義了基本認證過程以允許HTTP服務器對WEB瀏覽器進行用戶身份認證的方法。當一個客戶端向HTTP服務器進行數據請求時,如果客戶端未被認證,則HTTP服務器將通過基本認證過程對客戶端的用戶名及密碼進行驗證,以決定用戶是否合法。

客戶端在接收到HTTP服務器的身份認證要求后,會提示用戶輸入用戶名及密碼,客戶端將用戶名和密碼用“:”合并,并將合并后的字符串用BASE64加密為密文,并于每次請求數據時,將密文附加于請求頭(Request Header)中。HTTP服務器在每次收到請求包后,根據協議取得客戶端附加的用戶信息(BASE64加密的用戶名和密碼),解開請求包,對用戶名及密碼進行驗證,如果用戶名及密碼正確,則根據客戶端請求,返回客戶端所需要的數據;否則,返回錯誤代碼或重新要求客戶端提供用戶名及密碼。

HTTP基本認證的目標是提供簡單的用戶驗證功能,其認證過程簡單明了,適合于對安全性要求不高的系統或設備中。

更新時間:

20200707






















事件名稱:

TCP_SSH嘗試登錄

安全類型:

木馬后門

事件描述:

檢測到源IP地址主機正在向目的IP地址主機進行SSH登錄口令猜解的行為。

SSH Secure Shell 的縮寫,由 IETF 的網絡工作小組(Network Working Group)所制定;SSH 為建立在應用層和傳輸層基礎上的安全協議。SSH 是目前較可靠,專為遠程登錄會話和其他網絡服務提供安全性的協議。利用 SSH 協議可以有效防止遠程管理過程中的信息泄露問題。SSH最初是UNIX系統上的一個程序,后來又迅速擴展到其他操作平臺。SSH在正確使用時可彌補網絡中的漏洞。SSH客戶端適用于多種平臺。幾乎所有UNIX平臺包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix,以及其他平臺,都可運行SSH。

攻擊者經常會使用一些暴力破解工具加上密碼字典的方式來破解服務器的SSH登錄用戶及口令。

口令窮舉探測類事件定義為:在源IP地址與目的IP地址相同的情況下,統計單位時間內登錄失敗的次數,默認為一分鐘內登錄失敗的次數超過20次,就會觸發口令窮舉事件,該事件的默認動作是阻斷源地址。需特別說明的是,若IPSWAF設備串行部署在啟用NAT(Network Address Translation,網絡地址轉換)的網絡環境中,多個真實的源IP可能被轉換成一個源IP,極端情況下,多個用戶的正常登陸失敗嘗試也可能會觸發口令窮舉探測事件,此時可以考慮將該事件的默認響應動作修改為通過,以免影響正常業務。

更新時間:

20200707























事件名稱:

HTTP_后門_Bitter.Rat(蔓靈花)_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了Bitter。

更新時間:

20200707







事件名稱:

HTTP_通用_目錄穿越漏洞
[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在嘗試對目的IP主機進行目錄穿越漏洞攻擊嘗試的行為。目錄穿越漏洞能使攻擊者繞過Web服務器的訪問限制,對web根目錄以外的文件夾,任意地讀取甚至寫入文件數據。

更新時間:

20200707









上一篇 下一篇