首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2022-06-28

發布時間 2022-06-28

新增事件

 

事件名稱:

HTTP_安全漏洞_Webmin_遠程代碼執行漏洞[CVE-2012-2982][CNNVD-201209-215]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Webmin1.590和更早版本中的file/show.cgi允許遠程經過身份驗證的用戶通過路徑名中的無效字符執行任意命令。Webmin是功能最強大的基于WebUnix系統管理工具。管理員通過瀏覽器訪問Webmin的各種管理功能并完成相應的管理動作。

更新時間:

20220628

 

事件名稱:

HTTP_代碼執行_禪道_遠程代碼執行漏洞

安全類型:

安全漏洞

事件描述:

20199月,禪道項目管理軟件爆出全版本的RCE漏洞。于是便好奇漏洞的成因,在閱讀作者的文章及自己復現分析后,發現漏洞其實算是一種越權調用,普通權限(用戶組為1-10)的攻擊者可通過module/api/control.phpgetModel方法,越權調用module目錄下所有的model模塊和方法,從而實現SQL注入、任意文件讀取、遠程代碼執行等攻擊。

更新時間:

20220628

 

事件名稱:

HTTP_安全漏洞_Nagios_XI_遠程代碼執行漏洞[CVE-2020-5792][CNNVD-202010-1118]

安全類型:

安全漏洞

事件描述:

NagiosXI是一個建立在Nagios核心上的企業級監測和報警方案的開源組件。功能包括PHP網站界面、綜合表現圖、可定制的儀表板、網絡結構、配置GUI(圖形用戶接口)、用戶管理等。NagiosXI5.7.3中存在遠程代碼執行安全漏洞,該漏洞可以使經過身份驗證的具有管理員權限的用戶能夠以apache用戶的身份遠程執行代碼。

更新時間:

20220628

 

事件名稱:

HTTP_安全漏洞_Nagios_XI_遠程代碼執行漏洞[CVE-2020-28648][CNNVD-202011-1421]

安全類型:

安全漏洞

事件描述:

NagiosXI是一個建立在Nagios核心上的企業級監測和報警方案的開源組件。功能包括PHP網站界面、綜合表現圖、可定制的儀表板、網絡結構、配置GUI(圖形用戶接口)、用戶管理等。NagiosXI5.7.5中存在遠程代碼執行安全漏洞,攻擊者可利用此漏洞以“apache”用戶執行任意命令。

更新時間:

20220628

 

事件名稱:

HTTP_安全漏洞_Nagios_Fusion_遠程代碼執行漏洞[CVE-2020-28905]

安全類型:

安全漏洞

事件描述:

Nagios_Fusion能夠為IT運營人員和管理人員提供快速、一目了然的IT基礎架構中任何問題的可視化指示。NagiosFusion4.1.8及更早版本中不正確的輸入驗證允許經過身份驗證的攻擊者通過表分頁執行遠程代碼。

更新時間:

20220628

 

事件名稱:

HTTP_安全漏洞_Webmin_遠程命令執行漏洞[CVE-2020-35606][CNNVD-202012-1428]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Webmin1.962和更早版本中的file/show.cgi允許遠程經過身份驗證的用戶通過路徑名中的無效字符執行任意命令。Webmin是功能最強大的基于WebUnix系統管理工具。管理員通過瀏覽器訪問Webmin的各種管理功能并完成相應的管理動作。

更新時間:

20220628

 

事件名稱:

HTTP_安全漏洞_泛微OA_ln.FileDownload_任意文件讀取漏洞

安全類型:

安全漏洞

事件描述:

泛微OAV8系統存在任意文件讀取漏洞,攻擊者可通過ln.FileDownload接口讀取任意文件從而獲取敏感信息。

更新時間:

20220628

 

事件名稱:

HTTP_命令執行_Zabbix_命令注入漏洞[CVE-2013-3628][CNNVD-201310-745]

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用Zabbix的漏洞進行惡意命令執行。Zabbix是由AlexeiVladishev開發的一種網絡監視、管理系統,基于Server-Client架構。在Zabbix2.0.9及其之前版本允許管理員在主機上運行所創建的腳本,經過身份驗證的攻擊者可利用此漏洞在主機上允許運行惡意腳本。

更新時間:

20220628

 

事件名稱:

TCP_Java反序列化_CommonsCollections6Lite_利用鏈攻擊

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用CommonsCollections6Java反序列化利用鏈對目的主機進行攻擊的行為。若訪問的應用存在漏洞JAVA反序列化漏洞且使用了commons-CommonsCollections3.1-3.2.1,攻擊者可以發送精心構造的Java序列化對象,遠程執行任意代碼或命令。遠程執行任意代碼,獲取系統控制權。

更新時間:

20220628

 

事件名稱:

TCP_可疑行為_Nishang工具利用

安全類型:

可疑行為

事件描述:

Nishang是一個框架和腳本和有效負載的集合,它支持使用PowerShell進行攻擊性安全、滲透測試和紅隊。Nishang在滲透測試的所有階段都很有用。通過導入powershell會話進行滲透攻擊。

運維參考:1. 查看該條事件后續報警是否存在如“TCP_可疑行為_使用Powershell”、“TCP_powershell命令注入攻擊”等事件,如果存在則說明該工具已被成功上傳至目的ip;2. 查看該條事件前,源目的ip是否存在如“HTTP_木馬_可疑PowerShell代碼下載_連接”、“HTTP_可疑行為_Powershell_文件下載”、“TCP_橫向移動_WMI_Win32Process_調用powershell”等事件,用于判斷Nishang是否通過這些事件進行上傳。

更新時間:

20220628

 

事件名稱:

TCP_可疑行為_使用Powershell

安全類型:

安全漏洞

事件描述:

檢測到源ip通過使用框架、腳本等交互Powershell進行攻擊滲透。PowerShell的功能強大且調用方式十分靈活,且可以混淆。目前,越來越多的攻擊者已經將PowerShell應用在各種攻擊場景中,如內網滲透、勒索、挖礦、APT攻擊等等。在和各類組件,例如cmd,rundll32配合使用后,對抗能力更加強大。

更新時間:

20220628

 

事件名稱:

HTTP_安全漏洞_Webmin_遠程代碼執行漏洞[CVE-2022-0824][CNNVD-202203-076]

安全類型:

拒絕服務

事件描述:

檢測到源ip正在利用目的ip上的Webmin1.984及更低版本)文件管理器特權利用的漏洞,使低特權Webmin用戶可以使用root特權訪問文件并執行文件的對應內容。具有其他不受信任的Webmin用戶的所有系統都應立即升級。請注意,由于域所有者Webmin用戶的配置方式,Virtualmin系統不受此錯誤的影響。。Webmin是功能最強大的基于WebUnix系統管理工具。管理員通過瀏覽器訪問Webmin的各種管理功能并完成相應的管理動作。

更新時間:

20220628

 

事件名稱:

TCP_后門_ParallaxRat_連接

安全類型:

木馬后門

事件描述:

檢測到后門ParallaxRat試圖連接遠程服務器。源IP所在的主機可能被植入了ParallaxRat。ParallaxRat是一個功能強大的遠控后門,曾經被印度APT組織暗象所使用。"暗象"(DarkElephantGroup)是一個疑似來自印度的APT攻擊組織,其主要針對印度境內的社會活動人士、社會團體和在野政黨等,同時也會竊取印度周邊國家如中國和巴基斯坦等的軍事政治目標的重要情報。"暗象"組織的主要攻擊手段是使用谷歌/雅虎郵箱或者利用盜取的郵箱,向受害者發送極具迷惑性的魚叉郵件,誘騙對方運行具備多種免殺技巧的成熟商用遠控后門載荷。包括NetWire、DarkComet、ParallaxRat、GMBot等。

 

更新時間:

20220628

 

事件名稱:

HTTP_安全漏洞_金山終端安全系統_get_file_content.php_任意文件讀取漏洞

安全類型:

安全漏洞

事件描述:

金山V8終端安全系統存在任意文件讀取漏洞,攻擊者可以通過/receive_file/get_file_content.phpfilepath參數讀取任意文件。

更新時間:

20220628

 

事件名稱:

HTTP_TP-Link路由器_身份驗證繞過漏洞[CVE-2019-7405][CNNVD-201912-1679]

安全類型:

安全漏洞

事件描述:

TP-LinkArcherC5v4等都是中國普聯(TP-Link)公司的一款無線路由器,多款TP-Link產品中存在安全漏洞。盡管設備有安全驗證,但因為它只檢查referrerHTTP頭信息,所以攻擊者可利用硬編碼的tplinkwifi.net值來欺騙路由器的httpd服務,將其請求視為有效,通過發送特定HTTP請求可導致用戶密碼無效化,被一個空值所替換。

更新時間:

20220628

 

事件名稱:

HTTP_安全漏洞_Coremail_文件上傳漏洞

安全類型:

安全漏洞

事件描述:

Coremail郵件系統產品在國內已擁有10億終端用戶,是目前國內擁有郵箱使用用戶最多的郵件系統。Coremail<=XT5.x版本存在任意文件上傳漏洞,攻擊者可以上傳惡意文件,從而造成遠程代碼執行。

 

更新時間:

20220628

 

事件名稱:

TCP_木馬_DynamoMiner_嘗試連接礦池(DYNAMO)

安全類型:

蠕蟲病毒

事件描述:

檢測到挖礦木馬試圖連接遠程礦池服務器。源IP所在的主機可能被植入了DynamoMiner挖礦木馬。DynamoMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。Dynamo是一個公平發行區塊鏈,為用戶帶來真正的民主。為人們提供去中心化的加密貨幣,Dynamo提供了許多現代區塊鏈功能,例如NFT、智能合約和分布式存儲。

更新時間:

20220628

 

事件名稱:

TCP_木馬_DynamoMiner_挖礦控制命令通信_礦池更新Extranonce(DYNAMO)

安全類型:

蠕蟲病毒

事件描述:

檢測到礦池使用set_extranonce方法來更新Extranonce。源IP所在的主機可能被植入了DynamoMiner挖礦木馬。DynamoMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。Dynamo是一個公平發行區塊鏈,為用戶帶來真正的民主。為人們提供去中心化的加密貨幣,Dynamo提供了許多現代區塊鏈功能,例如NFT、智能合約和分布式存儲。

更新時間:

20220628

 

事件名稱:

TCP_木馬_DynamoMiner_獲取挖礦任務(DYNAMO)

安全類型:

蠕蟲病毒

事件描述:

檢測到礦池向礦機下發挖礦任務。源IP所在的主機可能被植入了DynamoMiner挖礦木馬。DynamoMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。Dynamo是一個公平發行區塊鏈,為用戶帶來真正的民主。為人們提供去中心化的加密貨幣,Dynamo提供了許多現代區塊鏈功能,例如NFT、智能合約和分布式存儲。

更新時間:

20220628

 

事件名稱:

TCP_木馬_DynamoMiner_挖礦成功(DYNAMO)

安全類型:

蠕蟲病毒

事件描述:

檢測到挖礦木馬挖礦成功的行為,即礦機向礦池提交挖礦結果。源IP所在的主機可能被植入了DynamoMiner挖礦木馬。DynamoMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。Dynamo是一個公平發行區塊鏈,為用戶帶來真正的民主。為人們提供去中心化的加密貨幣,Dynamo提供了許多現代區塊鏈功能,例如NFT、智能合約和分布式存儲。

更新時間:

20220628

 

事件名稱:

TCP_木馬_DynamoMiner_挖礦控制命令通信_難度調整(DYNAMO)

安全類型:

蠕蟲病毒

事件描述:

檢測到礦池使用set_difficulty方法進行挖礦難度調整的行為。源IP所在的主機可能被植入了DynamoMiner挖礦木馬。DynamoMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。Dynamo是一個公平發行區塊鏈,為用戶帶來真正的民主。為人們提供去中心化的加密貨幣,Dynamo提供了許多現代區塊鏈功能,例如NFT、智能合約和分布式存儲。

更新時間:

20220628

 

事件名稱:

TCP_木馬_SeroMiner_嘗試連接礦池(SERO)

安全類型:

蠕蟲病毒

事件描述:

檢測到挖礦木馬試圖連接遠程礦池服務器。源IP所在的主機可能被植入了SeroMiner挖礦木馬。SeroMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。SuperZeroSERO)是一個支持圖靈完備智能合約的隱私數字貨幣,同時也是一個允許開發者自行發布匿名數字資產的隱私保護平臺,可以讓去中心化應用具有隱私保護功能。

更新時間:

20220628

 

 

修改事件

 

 

事件名稱:

HTTP_可疑行為_敏感文件訪問

安全類型:

注入攻擊

事件描述:

檢測到源IP主機正在探測目的ip主機中可能暴露在外的敏感文件。

更新時間:

20220628

 

上一篇 下一篇