首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2022-03-29

發布時間 2022-03-29

新增事件


事件名稱:

TCP_安全漏洞_Spring_Cloud_Function_SpEL_表達式注入漏洞

安全類型:

安全漏洞

事件描述:

SpringCloudFunction是來自Pivotal的Spring團隊的新項目,它致力于促進函數作為主要的開發單元。該項目提供了一個通用的模型,用于在各種平臺上部署基于函數的軟件,包括像AmazonAWSLambda這樣的FaaS(函數即服務,functionasaservice)平臺。由于SpringCloudFunction未對HTTP請求頭部數據進行有效的驗證,攻擊者可利用該漏洞在未授權的情況下,構造惡意數據進行遠程代碼執行漏洞攻擊,最終獲取服務器最高權限。

更新時間:

20220329


事件名稱:

HTTP_安全漏洞_node-postgres_代碼執行漏洞[CVE-2017-16082][CNNVD-201806-553]

安全類型:

安全漏洞

事件描述:

node-postgres在處理類型為RowDescription的postgres返回包時,將字段名拼接到代碼中。由于沒有進行合理轉義,導致一個特殊構造的字段名可逃逸出代碼單引號限制,造成代碼執行漏洞

更新時間:

20220329


事件名稱:

TCP_后門_ELF.httpdz_連接服務器_上傳竊密信息

安全類型:

木馬后門

事件描述:

檢測到ELF.httpdz后門連接服務器并上傳竊密信息的行為。ELF.httpdz后門是在CryptoSink挖礦活動中被下載的后門文件,C++語言編寫,具有下載惡意鏈接并執行,收集有關硬件(CPU、內存等)的信息上傳到C2服務器等功能。

更新時間:

20220329


事件名稱:

HTTP_安全漏洞_OracleAccessManager_未授權代碼執行漏洞

安全類型:

安全漏洞

事件描述:

檢測到源IP設備正在利用OracleAccessManager_未授權代碼執行漏洞攻擊目的IP設備。該漏洞將導致遠程代碼執行,成功利用該漏洞的攻擊者可達到接管目標服務器的目的。

更新時間:

20220329


事件名稱:

TCP_后門_Gh0stCringe_連接

安全類型:

木馬后門

事件描述:

檢測到遠控后門Gh0stCringe試圖連接遠程服務器,源IP所在的主機可能被植入了Gh0stCringe。Gh0stCringe是利用一個根據Gh0st遠控的源碼修改而來的后門。運行后可以完全控制被感染機器。檢測被感染機器上是否運行著主流的殺毒軟件,試圖獲取敏感信息,如獲取當前焦點窗口的標題、記錄按鍵信息等。后門作者對網絡通信格式做了一些處理,以躲避檢測。Gh0stCringe將安全性差、賬戶憑證薄弱且沒有監管的數據庫服務器包括MicrosoftSQL,MySQL作為攻擊目標的。

更新時間:

20220329


事件名稱:

HTTP_注入攻擊_JACKSON-databind_2670_遠程代碼執行[CVE-2020-11113][CNNVD-202003-1735]

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用FasterXML_Jackson的遠程代碼執行漏洞向目的ip進行反序列化攻擊;FasterXMLJackson是美國FasterXML公司的一款適用于Java的數據處理工具。jackson-databind是其中的一個具有數據綁定功能的組件。

更新時間:

20220329


事件名稱:

HTTP_代碼執行_Oracle_Business_Intelligence_AMF反序列化漏洞[CVE-2020-2950][CNNVD-202004-810]

安全類型:

安全漏洞

事件描述:

檢測到源ip正在構造惡意反序列化代碼對Oracle_Business_Intelligence進行攻擊;Oracle_Business_Intelligence是一個技術和應用程序組合,提供業界第一個集成的端到端企業績效管理系統。

更新時間:

20220329


事件名稱:

HTTP_代碼執行_WebLogic_反序列化漏洞[CVE-2018-3252][CNNVD-201810-843]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Weblogic構造惡意反序列代碼執行任意命令;OracleWeblogicServer是應用程序服務器。Weblogic應用服務器的ApacheConnector模塊中的mod_wl未對用戶提交的輸入數據進行正確檢查,遠程攻擊者可以利用漏洞進行緩沖區溢出攻擊,可導致拒絕服務或任意代碼執行攻擊。攻擊者可以提交包含超長數據的POST請求觸發此漏洞,精心構建提交數據可導致以應用程序權限執行任意指令,獲得服務器的控制權。

更新時間:

20220329


事件名稱:

HTTP_木馬_Win32.MOOZ.THCCABO挖礦木馬_連接C2服務器_上傳竊密信息

安全類型:

蠕蟲病毒

事件描述:

MOOZ.THCCABO挖礦木馬是使用AutoIt編譯的一款挖礦程序,曾經和Zoom安裝程序捆綁在一起傳播。MOOZ.THCCABO挖礦木馬使用WindowsManagementInstrumentation(WMI查詢)收集圖形處理單元(GPU)信息,它還收集受害主機的CPU、系統、操作系統版本、視頻控制器和處理器的詳細信息,它還會檢查是否啟用了MicrosoftSmartScreen和WindowsDefender,以及系統中正在運行的防病毒解決方案,收集到的信息將使用HTTPGET請求發送到hxxps://2no.co/1IRnc。

更新時間:

20220329


事件名稱:

TCP_安全掃描_MSF_探測postgres服務版本

安全類型:

安全掃描

事件描述:

檢測到源IP設備正在探測目的IP設備postgres服務的版本

更新時間:

20220329


事件名稱:

TCP_木馬_NTMiner(開源礦工)_連接服務器_上傳竊密信息

安全類型:

蠕蟲病毒

事件描述:

開源礦工(NTMiner)是一款由中國人開發設計的顯卡挖礦軟件,主要用于挖ETH等顯卡幣。開源礦工內置的所有內核均為原版,不會額外增加礦工支出,永遠開源,永遠不會去破解國人開發的內核。挖礦程序會占用CPU資源,可能導致受害主機變慢。

更新時間:

20220329


事件名稱:

HTTP_代碼執行_PandoraFMS遠程代碼執行漏洞[CVE-2019-20224][CNNVD-202001-324]

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用PandoraFMS的遠程代碼執行漏洞進行攻擊;PandoraFMS是一款用于IT基礎設施管理的監控軟件。它包括網絡設備、Windows和Unix服務器、虛擬基礎架構和所有不同類型的應用程序。PandoraFMS具有大量功能,使其成為涵蓋您組織可能存在的所有監控問題的新一代軟件。

更新時間:

20220329

 

事件名稱:

HTTP_代碼執行_WebSVN_遠程代碼執行漏洞[CVE-2021-32305]

安全類型:

安全漏洞

事件描述:

檢測到源ip正在通過WebSVN的遠程代碼執行漏洞進行攻擊,WebSVN是一個基于Web的SubversionRepository瀏覽器,可以查看文件或文件夾的日志,查看文件的變化列表等。

更新時間:

20220329


事件名稱:

TCP_木馬_CPUMiner_連接礦池成功(BTC/LTC)

安全類型:

蠕蟲病毒

事件描述:

檢測到到挖礦木馬CPUMiner連接礦池成功的行為。源IP所在的主機可能被植入了CPUMiner木馬。CPUMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。

更新時間:

20220329


事件名稱:

TCP_木馬_CPUMiner_獲取挖礦任務(BTC/LTC)

安全類型:

蠕蟲病毒

事件描述:

檢測到挖礦木馬CPUMiner礦機獲取挖礦任務的行為。源IP所在的主機可能被植入了CPUMiner挖礦木馬。CPUMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。

更新時間:

20220329

 

事件名稱:

TCP_木馬_CPUMiner_挖礦控制命令通信_難度調整(BTC/LTC)

安全類型:

蠕蟲病毒

事件描述:

檢測到挖礦木馬由礦池控制礦機調整挖礦難度。源IP所在的主機可能被植入了CPUMiner挖礦木馬。CPUMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。

更新時間:

20220329

 

事件名稱:

TCP_安全漏洞_Jackson_Databind_可疑反序列化類_dbcp2[CVE-2020-36180/CVE-2020-36182/CVE-2020-36184/CVE-2020-36185][CNNVD-202101-326/CNNVD-202101-325/CNNVD-202101-344/CNNVD-202101-337]

安全類型:

安全漏洞

事件描述:

Jackson是一個能夠將java對象序列化為JSON字符串,也能夠將JSON字符串反序列化為java對象的框架。攻擊者可能利用jackson的可疑反序列化類org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource或org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource攻擊目的IP主機。

更新時間:

20220329

 

修改事件

 

事件名稱:

TCP_僵尸網絡_IoT.Moobot_連接

安全類型:

其他事件

事件描述:

檢測到Moobot試圖連接C&C服務器。源IP主機可能被植入了僵尸網絡Moobot。Moobot是一個IoT僵尸網絡,主要功能是對指定目標發起DDoS攻擊,通過各類漏洞傳播自身。

更新時間:

20220329

 

事件名稱:

TCP_安全漏洞_Apache_Log4j2_遠程代碼執行漏洞[CVE-2021-44228][CNNVD-202112-799]

安全類型:

安全漏洞

事件描述:

ApacheLog4j2是一個用于Java的日志記錄庫,其支持啟動遠程日志服務器。在ApacheLog4j22.15.0_rc1之前的2.x版本中存在安全漏洞。攻擊者可利用該漏洞遠程執行任意代碼

更新時間:

20220329

上一篇 下一篇