首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2021-12-14

發布時間 2021-12-15

新增事件


事件名稱:

TCP_后門_9002.Rat_APT_攻擊

安全類型:

遠控后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬。9002.Rat是正在活躍的APTs(AdvancedPersistentThreats)攻擊,難以檢測,且非常有針對性。主要是利用時下流行的漏洞傳播,如CVE-2013-1347、CVE-2013-2423、CVE-2013-1493等。發現有上傳用戶文件,遠程執行命令等功能。攻擊者可遠程控制被控端主機做各種操作。

更新時間:

20211214

 

 

事件名稱:

HTTP_D_Link_命令注入漏洞

安全類型:

邏輯/設計錯誤

事件描述:

D-Link一家生產網絡硬件和軟件產品的企業,主要產品有交換機、無線產品、寬帶產品、網卡、路由器、網絡攝像機和網絡安全產品(防火墻)等。D-Link存在一個命令注入漏洞,攻擊者可以通過向/getcfg.php發送包含惡意命令的請求,從而實現遠程任意命令執行

更新時間:

20211214

 

 

事件名稱:

TCP_后門_Rotajakiro.Oceanlotus(海蓮花)_連接

安全類型:

其他后門

事件描述:

檢測到后門試圖連接遠程服務器。源IP所在的主機可能被植入了后門Rotajakiro。Rotajakiro疑似是APT組織海蓮花所的使用后門,功能非常強大,運行后可以完全控制被感染機器。

更新時間:

20211214

 


事件名稱:

TCP_橫向移動_Psexec文件寫入

安全類型:

其他后門

事件描述:

PsExec是一個輕量級的telnet替代工具,它使您無需手動安裝客戶端軟件即可執行其他系統上的進程,并且可以獲得與命令控制臺幾乎相同的實時交互性。PsExec最強大的功能就是在遠程系統和遠程支持工具(如ipconfig、whoami)中啟動交互式命令提示窗口,以便顯示無法通過其他方式顯示的有關遠程系統的信息。

更新時間:

20211214

 


事件名稱:

HTTP_安全漏洞_Citrix_SD-WAN_遠程代碼執行漏洞[CVE-2020-8271][CNNVD-202011-1336]

安全類型:

代碼執行

事件描述:

CitrixSD-WAN是由美國Citrix公司開發的一套廣域網集中管理系統,通過虛擬化技術實現企業級的安全廣域網,綜合利用多條鏈路,實現負載均衡,并能配置、監控和分析WAN上的所有CitrixSD-WAN設備。CitrixSD-WAN通過url匹配實現身份驗證,但攻擊者可以通過構造惡意url使得Apache解析的url和CakePHP傳入的url不一致,從而繞過客戶端證書檢查,實現遠程代碼執行。

更新時間:

20211214

 

 

事件名稱:

HTTP_安全漏洞_Redmine_命令執行[CVE-2011-4929][CNNVD-201210-082]

安全類型:

命令執行

事件描述:

Redmine是一套開源的基于Web的項目管理和缺陷跟蹤工具。該工具提供項目管理、問題跟蹤和基于角色的訪問控制等功能。Redmine0.9.x版本和1.0.5之前的1.0.x版本中的bazaar庫適配器中存在未明漏洞。遠程攻擊者可利用該漏洞通過未知向量執行任意命令。

更新時間:

20211214

 

 

事件名稱:

 HTTP_安全漏洞_Barracuda-Spam-Firewall-img.pl_遠程命令執行[CVE-2005-2847][CNNVD-200509-075]

安全類型:

命令執行

事件描述:

BarracudaSpamFirewall是用于保護郵件服務器的集成硬件和軟件垃圾郵件解決方案。BarracudaSpamFirewall中存在遠程命令執行漏洞。img.pl腳本在用戶讀取完文件會試圖斷開文件。在/cgi-bin/img.pl腳本中:my$file_img=\"/tmp/\".CGI::param(\'\'f\'\');open(IMG,$file_img)ordie\"Couldnotopenimagebecause$!n\";...unlink($file_img);perlopen函數還可以用于執行命令。如果字符串以\"|\"結束的話,腳本就會執行命令。

更新時間:

20211214

 


事件名稱:

HTTP_安全漏洞_VINGA_命令執行漏洞[CVE-2021-43469][CNNVD-202112-350]

安全類型:

命令執行

事件描述:

VINGAWR-N300U77.102.1.4853受goahead組件影響,存在一處命令執行漏洞。該漏洞源于對傳入的host參數過濾不嚴謹,導致攻擊者可以注入惡意命令實現遠程命令執行。

更新時間:

20211214

 


事件名稱:

HTTP_可疑行為_tcp_socket調用

安全類型:

命令執行

事件描述:

檢測到源IP主機正在嘗試在目的主機進行tcp_socket調用,可能為命令注入攻擊。

更新時間:

20211214

 

 

事件名稱:

HTTP_安全漏洞_Quest_KACE_Systems_Management命令執行漏洞[CVE-2018-11138][CNNVD-201805-1216]

安全類型:

命令執行

事件描述:

檢測到源IP設備利用Quest_KACE_Systems_Management命令執行漏洞攻擊目的IP設備。QuestKACE系統管理設備8.0.318download_agent_installer.php文件允許未經身份驗證的用戶以Web服務器用戶www的身份執行任意命令。

更新時間:

20211214


 

事件名稱:

HTTP_可疑行為_Apache_Log4j_嵌套使用內置lookup格式字符串

安全類型:

命令執行

事件描述:

ApacheLog4j是一個用于Java的日志記錄庫,其支持啟動遠程日志服務器。此事件代表發現了源IP主機發送了滿足內置lookup格式的字符串,當目的IP主機后端接收到此格式的字符串時,會自動調用lookup功能。此事件檢測的是嵌套使用lookup記號的行為,此行為具有一定風險,可能會被攻擊者濫用,如繞過WAF檢測,并進行非預期的jndi調用。

更新時間:

20211214

 


事件名稱:

TCP_可疑行為_Apache_Log4j_嵌套使用內置lookup格式字符串

安全類型:

命令執行

事件描述:

ApacheLog4j是一個用于Java的日志記錄庫,其支持啟動遠程日志服務器。此事件代表發現了源IP主機發送了滿足內置lookup格式的字符串,當目的IP主機后端接收到此格式的字符串時,會自動調用lookup功能。此事件檢測的是嵌套使用lookup記號的行為,此行為具有一定風險,可能會被攻擊者濫用,如繞過WAF檢測,并進行非預期的jndi調用。

更新時間:

20211214



上一篇 下一篇