每周升級公告-2022-03-15
發布時間 2022-03-15新增事件
事件名稱: | HTTP_可疑行為_日志文件信息泄露 |
安全類型: | CGI攻擊 |
事件描述: | 檢測到源IP主機正在利用信息泄露漏洞攻擊目的IP主機的行為,可讀取目的IP主機上的敏感信息文件。 |
更新時間: | 20220315 |
事件名稱: | HTTP_漏洞利用_ShiroAttack2工具使用-暴力破解利用鏈_遠程代碼執行 |
安全類型: | 安全漏洞 |
事件描述: | 檢測到目前主機正受到ApachShiroRememberme參數命令注入代碼執行攻擊ApacheShiro是一個強大且易用的Java安全框架,被用來執行身份驗證、授權、密碼和會話管理。近日,發現針對該漏洞的利用方式已被小范圍傳播(漏洞版本<=1.2.4),請相關用戶盡快采取措施對此漏洞進行防護。 |
更新時間: | 20220315 |
事件名稱: | HTTP_漏洞利用_ShiroAttack2工具使用-內存馬注入_遠程代碼執行 |
安全類型: | 安全漏洞 |
事件描述: | 檢測到目前主機正受到ApachShiroRememberme參數命令注入代碼執行攻擊ApacheShiro是一個強大且易用的Java安全框架,被用來執行身份驗證、授權、密碼和會話管理。近日,發現針對該漏洞的利用方式已被小范圍傳播(漏洞版本<=1.2.4),請相關用戶盡快采取措施對此漏洞進行防護。 |
更新時間: | 20220315 |
事件名稱: | TCP_后門_Win32.Torchwood_連接 |
安全類型: | 木馬后門 |
事件描述: | 檢測到后門試圖連接遠程服務器。源IP所在的主機可能被植入了后門Torchwood。Torchwood是一個功能非常強大的后門,運行后可以完全控制被植入機器。主要通過CHM文件傳播。允許攻擊者完全控制被植入機器。 |
更新時間: | 20220315 |
事件名稱: | TCP_可疑行為_Linux命令執行回顯 |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源IP主機出現了某些Linux命令(如w、top、uptime等)執行的回顯流量,包含當前系統時刻、運行時間、用戶總連接數、平均負載等信息 |
更新時間: | 20220315 |
事件名稱: | HTTP_ElasticSearch_目錄穿越漏洞[CVE-2015-5531] |
安全類型: | CGI攻擊 |
事件描述: | 檢測到試圖通過利用ElasticSearch目錄穿越漏洞進行攻擊的行為,攻擊者可以利用該漏洞讀取到操作系統上的任意文件。ElasticSearch是一個基于Lucene的搜索服務器,基于Java開發。ElasticSearch存在目錄穿越漏洞,攻擊者利用該漏洞可讀取操作系統上的任意文件。嘗試遠程執行任意代碼。 |
更新時間: | 20220315 |
事件名稱: | HTTP_elasticsearch-head_目錄穿越漏洞[CVE-2015-3337] |
安全類型: | 安全漏洞 |
事件描述: | 檢測到試圖通過利用ElasticSearchhead插件目錄穿越漏洞進行攻擊的行為,攻擊者可以利用該漏洞讀取到操作系統上的任意文件。ElasticSearch是一個基于Lucene的搜索服務器,基于Java開發。ElasticSearchhead插件存在目錄穿越漏洞,攻擊者利用該漏洞可讀取操作系統上的任意文件。嘗試遠程執行任意代碼。 |
更新時間: | 20220315 |
事件名稱: | HTTP_Apache_Solr_SSRF漏洞[CVE-2021-27905] |
安全類型: | 注入攻擊 |
事件描述: | ApacheSolr是一個開源的搜索服務,使用Java編寫、運行在Servlet容器的一個獨立的全文搜索服務器,是ApacheLucene項目的開源企業搜索平臺。該漏洞是由于沒有對輸入的內容進行校驗,攻擊者可利用該漏洞在未授權的情況下,構造惡意數據執行SSRF攻擊,最終造成任意讀取服務器上的文件。 |
更新時間: | 20220315 |
事件名稱: | HTTP_可疑行為_java反序列化_遠程命令執行 |
安全類型: | 可疑行為 |
事件描述: | 檢測到源IP主機正在向目的IP發送可能存在遠程命令執行調用的java反序列化請求。 |
更新時間: | 20220315 |
事件名稱: | HTTP_安全漏洞_POSCMS_任意命令執行 |
安全類型: | 安全漏洞 |
事件描述: | POSCMS3.2.0版本前臺界面存在遠程代碼執行漏洞。特定路徑傳入惡意參數,會導致代碼執行,導致惡意攻擊者可以通過此漏洞寫入惡意代碼,并可以通過此漏洞進行getshell |
更新時間: | 20220315 |
事件名稱: | HTTP_安全漏洞_POSCMS_文件包含 |
安全類型: | 安全漏洞 |
事件描述: | POSCMS3.2.0版本后臺管理界面的附件上傳功能只是對文件后綴進行了驗證,但并沒有對文件內容進行驗證,導致惡意攻擊者可以通過此漏洞上傳惡意文件,并可以通過利用此文件進行getshell。要執行攻擊,需要能夠登錄到后臺管理界面,且有上傳文件的權限。 |
更新時間: | 20220315 |
事件名稱: | HTTP_安全漏洞_mini_httpd_任意文件讀取漏洞[CVE-2018-18778][CNNVD-201810-1382] |
安全類型: | 安全漏洞 |
事件描述: | Mini_httpd是一個微型的Http服務器,在占用系統資源較小的情況下可以保持一定程度的性能(約為Apache的90%),因此廣泛被各類IOT(路由器,交換器,攝像頭等)作為嵌入式服務器。而包括華為,zyxel,??低?,樹莓派等在內的廠商的旗下設備都曾采用Mini_httpd組件。ACMEmini_httpd<1.30版本存在一個任意文件讀取漏洞,該漏洞源于在mini_httpd開啟虛擬主機模式的情況下,用戶請求http://HOST/FILE將會訪問到當前目錄下的HOST/FILE文件,而當HOST為空、FILE=etc/passwd的時候,上述語句結果為/etc/passwd??勺鳛榻^對路徑,讀取到了/etc/passwd,造成任意文件讀取漏洞。 |
更新時間: | 20220315 |
事件名稱: | HTTP_安全漏洞_ToTolink_Technology路由器_未授權命令注入[CVE-2022-25134][CNNVD-202202-1645] |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源IP主機正試圖通過CVE-2022-25134漏洞攻擊目的IP主機。TOTOLINKTechnology路由器固件里存在命令注入漏洞,攻擊者可借此遠程執行系統命令。受影響路由器型號及其固件版本為:A830R(V5.9c.4729_B20191112)、3100R(V4.1.2cu.5050_B20200504)、A950RG(V4.1.2cu.5161_B20200903)、A800R(V4.1.2cu.5137_B20200730)、A3000RU(V5.9c.5185_B20201128)、A810R(V4.1.2cu.5182_B20201026)。 |
更新時間: | 20220315 |
事件名稱: | HTTP_漏洞利用_ShiroAttack工具使用_遠程代碼執行 |
安全類型: | 安全漏洞 |
事件描述: | 檢測到目前主機正受到ApachShiroRememberme參數命令注入代碼執行攻擊ApacheShiro是一個強大且易用的Java安全框架,被用來執行身份驗證、授權、密碼和會話管理。近日,發現針對該漏洞的利用方式已被小范圍傳播(漏洞版本<=1.2.4),請相關用戶盡快采取措施對此漏洞進行防護。 |
更新時間: | 20220315 |
事件名稱: | HTTP_安全漏洞_ToTolink_EX200無線中繼器_未授權命令注入[CVE-2021-43711][CNNVD-202201-147] |
安全類型: | 安全漏洞 |
事件描述: | ToTolinkEx200是中國ToTolink公司的一款2.4G無線中繼器,旨在擴大現有Wi-Fi網絡的覆蓋范圍。ToTolinkEx200對httpGET參數處理不當,存在命令注入漏洞,導致未授權遠程執行命令。攻擊者可利用此漏洞注入執行惡意命令。 |
更新時間: | 20220315 |
修改事件
事件名稱: | HTTP_可疑行為_Apache_Log4j_嵌套使用內置lookup格式字符串 |
安全類型: | 安全漏洞 |
事件描述: | ApacheLog4j是一個用于Java的日志記錄庫,其支持啟動遠程日志服務器。此事件代表發現了源IP主機發送了滿足內置lookup格式的字符串,當目的IP主機后端接收到此格式的字符串時,會自動調用lookup功能。此事件檢測的是“嵌套”使用lookup記號的行為,此行為具有一定風險,可能會被攻擊者濫用,如繞過WAF檢測,并進行非預期的jndi調用。 |
更新時間: | 20220315 |
事件名稱: | TCP_可疑行為_Apache_Log4j_嵌套使用內置lookup格式字符串 |
安全類型: | 安全漏洞 |
事件描述: | ApacheLog4j是一個用于Java的日志記錄庫,其支持啟動遠程日志服務器。此事件代表發現了源IP主機發送了滿足內置lookup格式的字符串,當目的IP主機后端接收到此格式的字符串時,會自動調用lookup功能。此事件檢測的是“嵌套”使用lookup記號的行為,此行為具有一定風險,可能會被攻擊者濫用,如繞過WAF檢測,并進行非預期的jndi調用。 |
更新時間: | 20220315 |
事件名稱: | HTTP_通用_目錄穿越漏洞[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902] |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源IP主機正在嘗試對目的IP主機進行目錄穿越漏洞攻擊嘗試的行為。目錄穿越漏洞能使攻擊者繞過Web服務器的訪問限制,對web根目錄以外的文件夾,任意地讀取甚至寫入文件數據。此規則是一條通用規則,其他漏洞(甚至一些0day漏洞)攻擊的payload也有可能觸發此事件報警。由于正常業務中一般不會產生此事件特征的流量,所以需要重點關注。允許遠程攻擊者訪問敏感文件。 |
更新時間: | 20220315 |