首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2021-12-28

發布時間 2021-12-28

新增事件


事件名稱:

TCP_NSA_EternalBlue_(永恒之藍)_SMB漏洞開始利用[MS17-010][CNNVD-201703-726]

安全類型:

緩沖溢出

事件描述:

檢測到源IP對目的主機進行MS17-010漏洞利用的行為,該階段為漏洞利用的初始階段。MicrosoftWindows是微軟發布的非常流行的操作系統。如果攻擊者向Microsoft服務器發送經精心構造的畸形請求包,可以獲取目標服務器的系統權限,并且完全控制目標系統。攻擊者開始進行MS17-010漏洞利用,在本機存在漏洞的情況下,在利用完成后攻擊者可能完全控制主機。

更新時間:

20211228


事件名稱:

TCP_安全漏洞_Spring-Data-REST-PATCH請求_遠程執行代碼[CVE-2017-8046]

安全類型:

代碼執行

事件描述:

2017921日,流行的Java框架spring被發現一個高危漏洞,漏洞CVE編號為CVE-2017-8046。黑客可以利用該漏洞遠程執行命令,使用了spring框架的業務存在高安全風險。SpringDataRestSpringData框架的其中一個組件,SpringDataRest可構建RestWeb,SpringDataRestPATCH方法處理不當,導致攻擊者能夠利用JSON數據造成RCE。本質還是因為SpringSPEL解析導致的RCE。

更新時間:

20211228

 

事件名稱:

HTTP_代碼執行_Intellian_Satellian_Aptus_Web遠程代碼執行[CVE-2020-7980]

安全類型:

代碼執行

事件描述:

Intellian Satellian Aptus Web 是一個控制臺系統。在Intellian Aptus Web 1.24 之前的版本中存在遠程命令執行漏洞,允許遠程攻擊者通過 JSON 數據中的 Q 字段向/cgi-bin/libagent.cgi 執行任意 OS 命令。

更新時間:

20211228

 

事件名稱:

HTTP_命令執行_Alcatel-Lucent_OmniPCX_遠程命令執行漏洞[CVE-2007-3010][CNNVD-200709-257]

安全類型:

命令執行

事件描述:

檢測到源ip主機正在利用AlcatelR7.1版本以前的漏洞進行命令執行;Alcatel_OmniPCXEnterprise是一種針對大中型企業、賓館、呼叫中心的集成交互式通信解決方案。該解決方案將傳統的電話功能和對基于因特網的語音通信及多媒體通信的支持相結合。AlcatelOmniPCXEnterprise是基于業界標準的開放型、分布式通信服務器,適用于大中型企業的通信業務。

更新時間:

20211228


事件名稱:

HTTP_安全漏洞_DedeCMS_信息泄露漏洞[CVE-2018-6910][CNNVD-201802-949]

安全類型:

敏感信息泄露

事件描述:

DesdevDedeCMS(織夢內容管理系統)是中國卓卓網絡(Desdev)科技有限公司的一套開源的集內容發布、編輯、管理檢索等于一體的PHP網站內容管理系統(CMS)。DesdevDedeCMS5.7版本中存在信息泄露漏洞。遠程攻擊者可通過對include/downmix.inc.phpinc/inc_archives_functions.php文件發送接請求利用該漏洞獲取完整路徑。

更新時間:

20211228


事件名稱:

HTTP_安全漏洞_Apache_Druid_LoadData_任意文件讀取漏洞[CVE-2021-36749][CNNVD-202109-1676]

安全類型:

文件讀取

事件描述:

ApacheDruid是一個實時分析型數據庫,旨在對大型數據集進行快速的查詢分析。在ApacheDruid系統中,InputSource用于從某個數據源讀取數據。由于沒有對用戶可控的HTTPInputSource做限制,ApacheDruid允許經過身份驗證的用戶以Druid服務器進程的權限從指定數據源讀取數據,包括本地文件系統。攻擊者可通過將文件URL傳遞給HTTPInputSource來繞過應用程序級別的限制。由于ApacheDruid默認情況下缺乏授權認證,攻擊者可構造惡意請求,在未授權情況下利用該漏洞讀取任意文件,最終導致服務器敏感信息泄露。

更新時間:

20211228

 

事件名稱:

HTTP_安全漏洞_WordPress_未授權訪問[CVE-2019-17671][CNNVD-201910-1180]

安全類型:

非授權訪問/權限繞過

事件描述:

檢測到源ip正在利用WordPress5.2.3以前的漏洞,進行未授權的秘密文件訪問

更新時間:

20211228


事件名稱:

HTTP_安全漏洞_DedeCMS_前臺任意用戶密碼修改漏洞

安全類型:

邏輯/設計錯誤

事件描述:

DedeCms是免費的PHP網站內容管理系統。DedeCMS在用戶密碼重置功能處,php存在弱類型比較,導致如果用戶沒有設置密保問題的情況下,攻擊者可以繞過驗證密保問題,直接修改密碼(管理員賬戶默認不設置密保問題)。

更新時間:

20211228

 

事件名稱:

HTTP_安全漏洞_DedeCMS_前臺文件上傳漏洞

安全類型:

文件上傳

事件描述:

DedeCms是免費的PHP網站內容管理系統。DedeCms在用戶發布文章上傳圖片處存在文件上傳漏洞,該漏洞源于對上傳文件后綴檢測不嚴謹,可導致黑客上傳惡意文件控制主機。

更新時間:

20211228


事件名稱:

HTTP_安全漏洞_Phpcms_install.php_前臺Getshell

安全類型:

配置不當/錯誤

事件描述:

檢測到源ip可能存在正在利用目的ipPhpcms上未刪除的install.php進行惡意攻擊的行為,目前規則無法準確判斷是否為惡意攻擊。PHPCMS是開源的整站系統。PHPCMS存在PHPCMS_v2008_preview.php注入漏洞,攻擊者利用此漏洞竊取敏感信息,獲取數據庫和管理員權限。

更新時間:

20211228

 

事件名稱:

HTTP_安全漏洞_ADSelfService-Plus未授權_任意代碼執行[CVE-2021-40539][CNNVD-202109-330]

安全類型:

代碼執行

事件描述:

ZOHOManageEngineADSelfServicePlus是美國卓豪(ZOHO)公司的針對ActiveDirectory和云應用程序的集成式自助密碼管理和單點登錄解決方案。ZohoManageEngineADSelfServicePlus6113版本及更早版本存在授權問題漏洞,該漏洞源于軟件很容易繞過RESTAPI認證,從而導致遠程代碼執行。

更新時間:

20211228

 

事件名稱:

HTTP_Spring-api-actuator相關文件_敏感文件訪問

安全類型:

敏感信息泄露

事件描述:

SpringBoot官方提供了spring-boot-starter-actuator場景啟動器用于系統的監控管理,可以通過HTTP,JMX,SSH協議來進行操作,自動得到審計、健康及指標信息等。相關文件皆為敏感文件,未做訪問權限控制將導致信息泄露。

更新時間:

20211228


事件名稱:

HTTP_Swagger-api工具_敏感文件訪問

安全類型:

敏感信息泄露

事件描述:

Swagger是一款RESTFUL接口的、基于YAML、JSON語言的文檔在線自動生成、代碼自動生成的工具。spring框架中也會使用Swaggerspringfox-swagger22.4springfox-swagger-ui2.4),相關文件夾被訪問有信息泄露風險。

更新時間:

20211228

 

事件名稱:

HTTP_安全漏洞_Seowon-Intech-SWC-9100-Routers_命令執行[CVE-2013-7179][CNNVD-201402-022]

安全類型:

命令執行

事件描述:

SeowonIntechSWC-9100Routers是韓國瑞元殷特(SeowonIntech)公司的一款無線路由器產品。SeowonIntechSWC-9100路由器中的cgi-bin/diagnostic.cgi文件中的ping功能中存在輸入驗證漏洞。遠程攻擊者可借助‘ping_ipaddr’參數中的shell元字符利用該漏洞執行任意命令。

更新時間:

20211228

 

事件名稱:

DNS_木馬_可疑礦池主域名解析請求7

安全類型:

挖礦軟件

事件描述:

檢測到可疑挖礦木馬試圖連接域名服務器解析礦池地址。源IP所在的主機可能被植入了挖礦木馬。挖礦木馬嘗試連接礦池,運行后使受害主機變慢,消耗CPU資源。如果為用戶正常訪問礦池主頁,則忽略該事件。

更新時間:

20211228

 

事件名稱:

HTTP_安全漏洞_MicrosoftOffice_遠程代碼執行漏洞[CVE-2021-40444][CVE-2021-40444][CNNVD-202109-350]

安全類型:

文件下載

事件描述:

檢測到源ip所在的主機正在利用CVE-2021-40444下載惡意程序,事件檢測響應包特征。CVE-2021-40444是一個在20219月被爆出的在野利用的漏洞,用戶只需要雙擊執行docx文件或使用ie訪問惡意網站,即可執行惡意程序。該漏洞位于WindowsMSHML組件,MSHML組件是微軟IE瀏覽器的排版引擎,也可以在office程序中呈現web頁面。MSHTML提供了COM接口,任何支持COM的環境都可以通過該組件訪問、編輯網頁。

更新時間:

20211228


修改事件


事件名稱:

HTTP_可疑行為_Apache_Log4j_嵌套使用內置lookup格式字符串

安全類型:

命令執行

事件描述:

ApacheLog4j是一個用于Java的日志記錄庫,其支持啟動遠程日志服務器。此事件代表發現了源IP主機發送了滿足內置lookup格式的字符串,當目的IP主機后端接收到此格式的字符串時,會自動調用lookup功能。此事件檢測的是嵌套使用lookup記號的行為,此行為具有一定風險,可能會被攻擊者濫用,如繞過WAF檢測,并進行非預期的jndi調用。

更新時間:

20211228

 

事件名稱:

TCP_可疑行為_Apache_Log4j_嵌套使用內置lookup格式字符串

安全類型:

命令執行

事件描述:

ApacheLog4j是一個用于Java的日志記錄庫,其支持啟動遠程日志服務器。此事件代表發現了源IP主機發送了滿足內置lookup格式的字符串,當目的IP主機后端接收到此格式的字符串時,會自動調用lookup功能。此事件檢測的是嵌套使用lookup記號的行為,此行為具有一定風險,可能會被攻擊者濫用,如繞過WAF檢測,并進行非預期的jndi調用。

更新時間:

20211228


上一篇 下一篇