首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2021-05-04

發布時間 2021-05-06

新增事件


事件名稱:

HTTP_Seowon-SlC-130-Router_遠程代碼執行[CVE-2020-17456]

安全類型:

安全漏洞

事件描述:

主機正在遭受Seowon-SlC-130-Router_遠程代碼執行攻擊漏洞編號:CVE-2020-17456影響設備:SlC-130、SLR-120S漏洞危害程度:可以獲取到設備的shell,并且是以root權限。漏洞產生的位置:產生的位置在測試網絡聯通的地方,也就是ping的地址,這個地方可以被繞過經過以前對路由器漏洞的研究,不少的路由器漏洞產生點都在這個部分。開發人員對輸入的參數沒有進行有效的驗證和非法字符過濾。

更新時間:

20210504


事件名稱:

HTTP_安全漏洞_F5-BIG-IP_/mgmt/tm/access/bundle-install-tasks處_遠程代碼漏洞[CVE-2021-22986][CNNVD-202103-770]

安全類型:

安全漏洞

事件描述:

當前主機正在遭受F5-BIG-IP_遠程代碼漏洞攻擊。BIG-IP存在代碼執行漏洞,該漏洞允許定義身份驗證的攻擊者通過BIG-IP管理界面和自身IP地址對iControlREST接口進行網絡訪問,以執行任意系統命令,創建或刪除文件以及替換服務。該漏洞只能通過控制界面利用,而不能通過數據界面利用。

更新時間:

20210504


修改事件


事件名稱:

HTTP_IIS解析漏洞

安全類型:

安全漏洞

事件描述:

檢測到利用IIS文件名后綴解析錯誤的上傳行為當試圖嘗試或利用WEB應用或服務器平臺的MIME檢測漏洞時事件被觸發,攻擊者可以嘗試通過上傳各類惡意文件來攻擊目標主機。攻擊成功,可遠程執行任意代碼。

更新時間:

20210504


image.png

事件名稱:

HTTP_Nginx解析漏洞

安全類型:

安全漏洞

事件描述:

檢測到利用Nginx文件名后綴解析錯誤的上傳行為。nginx是俄羅斯軟件開發者IgorSysoev所研發的一款HTTP和反向代理服務器,也可以作為郵件代理服務器。該漏洞源于程序沒有正確驗證包含未轉義空格字符的請求URI。遠程攻擊者可利用該漏洞繞過既定的限制。攻擊成功,可遠程執行任意代碼。

更新時間:

20210504


事件名稱:

HTTP_Adobe_ColdFusion反序列化漏洞[CVE-2018-15958/15959][CNNVD-201809-488]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正試圖通過AdobeColdFusion漏洞攻擊目的IP主機。AdobeColdFusion的FlashGateway服務存在反序列化漏洞,未經身份驗證的攻擊者向目標AdobeColdFusion的FlashGateway服務發送精心構造的惡意數據,可遠程執行任意代碼。漏洞存在的版本:AdobeColdFusion2016.0Update6AdobeColdFusion2016.0Update5AdobeColdFusion2016.0Update4AdobeColdFusion2016.0Update3AdobeColdFusion2016.0Update2AdobeColdFusion2016.0Update1AdobeColdFusion2018.0.0.310739AdobeColdFusion11Update9AdobeColdFusion11Update8AdobeColdFusion11Update7AdobeColdFusion11Update6AdobeColdFusion11Update5AdobeColdFusion11Update4AdobeColdFusion11Update3AdobeColdFusion11Update2AdobeColdFusion11Update14AdobeColdFusion11Update13AdobeColdFusion11Update12AdobeColdFusion11Update11AdobeColdFusion11Update10AdobeColdFusion11Update1嘗試利用CVE-2018-15958AdobeColdFusion反序列化漏洞攻擊。

更新時間:

20210504


事件名稱:

HTTP_ThinkPHP5遠程代碼執行漏洞

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用ThinkPHP框架遠程代碼執行漏洞攻擊目的IP主機的行為,試圖遠程注入PHP代碼,在目標服務器上執行任意代碼或命令。ThinkPHP是一個流行的輕量級國產PHP開發框架。當Web網站是基于ThinkPHP框架開發時,可能存在該漏洞時。攻擊者發送精心構造的PHP代碼在目標主機上執行,企圖進一步控制服務器。攻擊成功,可遠程執行任意代碼。

更新時間:

20210504


image.png

事件名稱:

HTTP_Apache_Solr_Velocity_遠程代碼執行漏洞_Config_API

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Apache_Solr_Velocity遠程代碼執行漏洞_Config_API攻擊目的IP主機的行為攻擊成功,可遠程執行任意代碼。

更新時間:

20210504


事件名稱:

TCP_Java靜態調用_java.lang.Runtime_遠程代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源目標IP正在使用Java靜態調用java.lang.Runtime方式進行遠程代碼執行攻擊的行為。在Java中,程序開發人員通常會通過靜態調用java.lang.Runtime方式執行外部的Shell命令。Runtime類是Java程序的運行時環境,開發者可以通過getRuntime()方法獲取當前Runtime運行時對象的引用。通常在Java相關的應用系統中,如果處理外部命令執行時,沒有對用戶的輸入做合理有效的過濾,攻擊者可以利用這個漏洞遠程注入命令或代碼并執行。諸如Struts2、Spring這些應用曾經被披露出存在Java遠程代碼執行漏洞,例如Ognl表達式和SpEL表達式的任意代碼執行漏洞。攻擊者通過靜態調用java.lang.Runtime方式在有缺陷應用中執行任意代碼或命令,進一步完全控制目標服務器。嘗試遠程執行任意代碼。

更新時間:

20210504


事件名稱:

HTTP_類菜刀流量_響應

安全類型:

木馬后門

事件描述:

中國菜刀是中國黑客圈內使用非常廣泛的一款Webshell管理工具。中國菜刀用途十分廣泛,支持多種語言,小巧實用,具有文件管理(有足夠的權限時候可以管理整個磁盤/文件系統),數據庫管理,虛擬終端等功能。對于這類管理工具,如果沒有大量的修改服務端腳本代碼,其返回流量都會有一些常見的特征,本條規則將常見的共同特征提取出來進行防御性報警。由于此事件為較為寬泛的通用特征,可能存在誤報,請參考特征性質判斷字段進行判斷。允許攻擊者完全控制被植入機器。

更新時間:

20210504


事件名稱:

HTTP_安全漏洞_WordPress_Easy_WP_SMTP日志文件探測

安全類型:

安全漏洞

事件描述:

檢測檢測到源IP主機正在利用WordPress的Easy_WP_SMTP插件日志暴露在外進行未授權訪問及密碼惡意修改;EasyWPSMTP允許您配置和通過SMTP服務器發送所有外發電子郵件。這樣可以防止您的電子郵件進入收件人的垃圾郵件文件夾。

更新時間:

20210504


事件名稱:

HTTP_可疑行為_wget_curl下載可疑文件并執行

安全類型:

可疑行為

事件描述:

檢測到源IP主機正在向目的IP主機發送可疑命令,嘗試控制目的IP主機下載可疑文件并執行。

更新時間:

20210504


刪除事件


1. HTTP_木馬后門_webshell_AntSword_php控制命令

2. TCP_冰蝎_php_webshell_上傳

3. TCP_RealVNC_RFB協議遠程認證繞過漏洞[CVE-2006-2369]

4. HTTP_Citrix_ADC_遠程代碼執行漏洞[CVE-2020-8193][CNNVD-202007-367]

5. HTTP_安全漏洞_泛微OA8_前臺SQL執行

上一篇 下一篇