首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2022-07-05

發布時間 2022-07-05

新增事


事件名稱:

HTTP_安全漏洞_fastjson_1.2.60_反序列化遠程代碼執行漏洞

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用fastjsonJSON反序列化遠程代碼執行漏洞對目的主機進行攻擊的行為,試圖通過傳入精心構造的惡意代碼或命令來入侵目的IP主機。FastJson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將JavaBean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean,由于具有執行效率高的特點,應用范圍很廣。攻擊成功,可遠程執行任意代碼。

更新時間:

20220705

 

事件名稱:

HTTP_安全漏洞_fastjson_1.2.67_反序列化遠程代碼執行漏洞

安全類型:

安全漏洞

事件描述:

Fastjson是一個Java庫,可以將Java對象轉換為JSON格式,fastjson存在遠程代碼執行高危安全漏洞。攻擊者通過發送一個精心構造的JSON序列化惡意代碼,當程序執行JSON反序列化的過程中執行惡意代碼,從而導致遠程代碼執行。

更新時間:

20220705

 

事件名稱:

TCP_木馬_BeamMiner_挖礦成功(BEAM)

安全類型:

蠕蟲病毒

事件描述:

檢測到礦機向礦池提交挖礦結果的行為。源IP所在的主機可能被植入了BeamMiner挖礦木馬。BeamMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。Beam是基于MimbleWimble協議開發的加密貨幣,具有強隱私性、替代性和擴展性。Beam所有交易都默認是私密的。新節點加入網絡無需同步整個交易歷史,可以請求同步只包含系統狀態的壓縮歷史記錄和區塊頭,從而實現快速同步。

更新時間:

20220705


事件名稱:

TCP_后門_Win32.WarZoneRat_連接(掃描)

安全類型:

安全掃描

事件描述:

檢測到源IP主機在對目的IP主機進行掃描。WarZoneRat是一個功能強大的遠控,運行后可完全控制被植入機器。本事件報警不是真實攻擊,僅僅意味著源IP主機在對目的IP主機進行掃描。源IP一般屬于Shodan掃描主機,目的IP是客戶主機。源IP主機模仿WarZoneRat樣本向目的IP主機發送上線報文,如果收到期望的返回數據,即認為目的IP主機上運行著Gh0st控制端,是WarZoneRatC&C服務。Shodan就是通過這種掃描來獲取惡意軟件的C&C服務器,除Shodan外,其它一些威脅情報公司的IP主機也在進行著這種掃描。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_WordPress-3DPrint-Lite_任意文件上傳

安全類型:

安全漏洞

事件描述:

WordPress3DPrintLiteVersion1.9.1.4版本中的3dprint-lite-functions.php文件存在文件上傳漏洞,攻擊者通過構造請求包可以上傳任意文件獲取服務器權限。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_Webmin_遠程命令執行漏洞[CVE-2019-12840][CNNVD-201906-632]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Webmin1.910和更早版本中的update.cgi允許遠程經過身份驗證的用戶執行任意命令。Webmin是功能最強大的基于WebUnix系統管理工具。管理員通過瀏覽器訪問Webmin的各種管理功能并完成相應的管理動作。

更新時間:

20220705


事件名稱:

TCP_Java反序列化_CommonsCollections11_利用鏈攻擊

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用CommonsCollections11Java反序列化利用鏈對目的主機進行攻擊的行為。若訪問的應用存在漏洞JAVA反序列化漏洞且使用了CommonsCollections3.1-3.2.1,攻擊者可以發送精心構造的Java序列化對象,遠程執行任意代碼或命令。遠程執行任意代碼,獲取系統控制權。

更新時間:

20220705


事件名稱:

TCP_可疑行為_URLClassLoader遠程加載惡意類

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用URLClassLoaderJava遠程加載惡意類對目的主機進行攻擊的行為。攻擊者可以發送精心構造的Javapayload,遠程加載惡意類執行任意代碼或命令。遠程執行任意代碼,獲取系統控制權。

更新時間:

20220705


事件名稱:

TCP_可疑行為_JNDI遠程加載惡意類

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用JNDIlookup方法遠程加載惡意類對目的主機進行攻擊的行為。攻擊者可以發送精心構造的Javapayload,遠程加載惡意類執行任意代碼或命令。遠程執行任意代碼,獲取系統控制權。

更新時間:

20220705


事件名稱:

TCP_可疑行為_Shiro_JNDI遠程加載惡意類

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用ShiroJNDIlookup方法遠程加載惡意類對目的主機進行攻擊的行為。攻擊者可以發送精心構造的Javapayload,遠程加載惡意類執行任意代碼或命令。遠程執行任意代碼,獲取系統控制權。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_萬戶OA_fileUpload.controller_任意文件上傳漏洞

安全類型:

安全漏洞

事件描述:

萬戶OA存在一個任意文件上傳漏洞,攻擊者可以通過fileUpload.controller接口上傳惡意文件。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_通達OA_update.php_文件包含漏洞

安全類型:

安全漏洞

事件描述:

通達OAv11.8以下的版本存在一個文件包含漏洞。攻擊者可以通過利用PHP.user.ini文件來包含其他惡意文件繞過通達OA的文件上傳限制。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_Jackson_反序列化_代碼執行[CVE-2020-14060][CNNVD-202006-997]

安全類型:

安全漏洞

事件描述:

FasterXMLjackson-databind2.x,2.9.10.5版本之前的oadd.org.apache.xalan.lib.sql.JNDIConnectionPool錯誤地處理了與oadd相關的序列化gadgets和輸入之間的交互

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_Jackson_反序列化_代碼執行[CVE-2020-14062][CNNVD-202006-996]

安全類型:

安全漏洞

事件描述:

FasterXMLjackson-databind2.x,2.9.10.5版本之前的com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool錯誤地處理了與oadd相關的序列化gadgets和輸入之間的交互

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_Jackson_反序列化_代碼執行[CVE-2020-14195][CNNVD-202006-1070]

安全類型:

安全漏洞

事件描述:

FasterXMLjackson-databind2.x,2.9.10.5版本之前的org.jsecurity.realm.jndi.JndiRealmFactory錯誤地處理了與oadd相關的序列化gadgets和輸入之間的交互

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_Jackson_反序列化_代碼執行[CVE-2020-24750][CNNVD-202009-1066]

安全類型:

安全漏洞

事件描述:

FasterXMLjackson-databind2.x,2.9.10.5版本之前的com.pastdev.httpcomponents.configuration.JndiConfiguration錯誤地處理了與oadd相關的序列化gadgets和輸入之間的交互

更新時間:

20220705


事件名稱:

HTTP_安全事件_GitLab_遠程命令執行[CVE-2018-19571][CVE-2018-19585]

安全類型:

安全漏洞

事件描述:

GitLab是一個用于倉庫管理系統的開源項目,其使用Git作為代碼管理工具,可通過Web界面訪問公開或私人項目。在11.4.7版本之前,該項目存在遠程代碼執行漏洞,攻擊者可構造惡意payload以獲取服務器權限。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_Mitel_MiVoice_Connect_遠程代碼執行[CVE-2022-29499][CNNVD-202204-4387]

安全類型:

安全漏洞

事件描述:

檢測到目的ip為攻擊者ip,通過源ip存在數據驗證不正確的漏洞,可以通過vtest.phpget_url參數進行本地文件利用,從而使得源ip向目的ip(攻擊者)發送敏感信息,或反彈shell,導致進一步攻擊。MitelMiVoiceConnect是加拿大MitelNetworks公司的一款用于集中管理MitelNetworks的呼叫處理和協作工具的軟件。

更新時間:

20220705


事件名稱:

HTTP_小魚易連視頻系統_LUA腳本配置錯誤_遠程命令執行

安全類型:

安全漏洞

事件描述:

小魚易連視頻會議系統LUA腳本權限分配不當,導致任意用戶可利用root權限執行命令,攻擊者利用此漏洞可完全獲取系統權限。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_中遠麒麟_iAudit堡壘機_get_luser_by_sshport.php_遠程命令執行漏洞

安全類型:

安全漏洞

事件描述:

中遠麒麟iAudit堡壘機get_luser_by_sshport.php文件存在命令拼接,攻擊者通過漏洞可獲取服務器權限。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_天融信_TopApp-LB_enable_tool_debug.php_遠程命令執行漏洞

安全類型:

安全漏洞

事件描述:

天融信TopSec-LBenable_tool_debug.php文件存在遠程命令執行漏洞,通過命令拼接攻擊者可以執行任意命令。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_深信服應用交付管理系統_sys_user.conf_賬號密碼泄漏

安全類型:

CGI攻擊

事件描述:

深信服應用交付管理系統文件sys_user.conf可在未授權的情況下直接訪問,導致賬號密碼泄漏。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_深信服應用交付報表系統_download.php_任意文件讀取漏洞

安全類型:

安全漏洞

事件描述:

深信服應用交付報表系統download.php文件存在任意文件讀取漏洞,攻擊者通過漏洞可以下載服務器任意文件。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_深信服應用交付報表系統_login.php_命令注入漏洞

安全類型:

安全漏洞

事件描述:

深信服應用交付報表系統(4.5以下版本)存在一個命令注入漏洞,該漏洞源于對傳入的userPswuserID過濾不嚴謹導致,允許遠程攻擊者使用特制請求執行任意命令。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_綠盟UTS綜合威脅探針_信息泄露

安全類型:

CGI攻擊

事件描述:

綠盟UTS綜合威脅探針某個接口未做授權導致未授權訪問,其中包含部分賬號密碼信息,攻擊者可利用來進行登錄繞過。

更新時間:

20220705


事件名稱:

DNS_可疑行為_GotoHTTP遠程連接工具使用

安全類型:

可疑行為

事件描述:

Gotohttp是一款遠程桌面工具,可能為黑客正在使用。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_Microsoft_Exchange_Server_遠程代碼執行漏洞[CVE-2020-16875][CNNVD-202009-374]

安全類型:

安全漏洞

事件描述:

由于對cmdlet參數的驗證不正確,MicrosoftExchange服務器中存在遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以在系統用戶的上下文中運行任意代碼。利用此漏洞需要已通過身份驗證的用戶具有受到威脅的特定Exchange角色。此安全更新通過更正MicrosoftExchange處理cmdlet參數的方式來修復此漏洞。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_CMS-Discuz:X_uc_center后臺代碼執行

安全類型:

安全漏洞

事件描述:

Discuz!ML系統中,通過后臺修改Ucenter數據庫連接信息,可將惡意代碼寫入config/config_ucenter.php文件中,導致代碼執行。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_Jackson_反序列化_代碼執行[CVE-2019-14540][CNNVD-201909-716]

安全類型:

安全漏洞

事件描述:

Jackson是當前用的比較廣泛的,用來序列化和反序列化jsonJava開源框架。在2.9.10之前的FasterXMLjackson-databind中由于com.zaxxer.hikari.HikariConfig處理數據問題,存在反序列化漏洞

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_CMS_Discuz!X3.4_任意文件刪除配合install過程getshell

安全類型:

安全漏洞

事件描述:

Discuz!ML系統安裝后未登陸后臺時,可利用文件刪除漏洞刪掉install.lock文件,繞過對安裝完成的判斷能夠再進行安裝的過程,然后將惡意代碼寫入配置文件中從而執行任意代碼。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_Eyoucms_1.4.3_任意文件寫入

安全類型:

安全漏洞

事件描述:

EyouCms是基于TP5.0框架為核心開發的免費+開源的企業內容管理系統,專注企業建站用戶需求提供海量各行業模板。在1.4.3版本以前,該系統中存在任意文件寫入漏洞,攻擊者可構造惡意payload進行文件寫入操作。

更新時間:

20220705


事件名稱:

HTTP_木馬后門_Covenant_心跳包_連接C2服務器

安全類型:

木馬后門

事件描述:

Covenant是一個.NET開發的C2(commandandcontrol)框架,使用.NETCore的開發環境,不僅支持Linux,MacOSWindows,還支持docker容器。Covenant支持動態編譯,能夠將輸入的C#代碼上傳至C2Server,獲得編譯后的文件并使用Assembly.Load()從內存進行加載。該事件表明,Covenant的生成物Grunts正在利用心跳報文與C2服務器保持連接。

更新時間:

20220705


修改事件

 

事件名稱:

HTTP_安全漏洞_fastjson_1.2.47_反序列化遠程代碼執行漏洞

安全類型:

安全漏洞

事件描述:

Fastjson是一個Java庫,可以將Java對象轉換為JSON格式,fastjson1.2.47以及之前版本存在遠程代碼執行高危安全漏洞。攻擊者通過發送一個精心構造的JSON序列化惡意代碼,當程序執行JSON反序列化的過程中執行惡意代碼,從而導致遠程代碼執行。

更新時間:

20220705


事件名稱:

HTTP_可疑行為_fastjson_反序列化加載BCEL

安全類型:

安全漏洞

事件描述:

Fastjson是一個Java庫,可以將Java對象轉換為JSON格式,fastjson1.2.24以及之前版本存在遠程代碼執行高危安全漏洞。攻擊者通過發送一個精心構造的JSON序列化惡意代碼,當程序執行JSON反序列化的過程中執行惡意代碼,從而導致遠程代碼執行。

更新時間:

20220705


事件名稱:

TCP_后門_Linux.DDoS.Gafgyt_控制命令

安全類型:

其他事件

事件描述:

檢測到Gafgyt服務器試圖發送命令給Gafgyt,目的IP主機被植入了Gafgyt。DDoS.Gafgyt是一個類Linux平臺下的僵尸網絡,主要功能是對指定目標機器發起DDoS攻擊。對指定目標主機發起DDoS攻擊。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_fastjson_1.2.45_反序列化遠程代碼執行漏洞[CVE-2017-18349]

安全類型:

安全漏洞

事件描述:

Fastjson是一個Java庫,可以將Java對象轉換為JSON格式,fastjson1.2.24以及之前版本存在遠程代碼執行高危安全漏洞。攻擊者通過發送一個精心構造的JSON序列化惡意代碼,當程序執行JSON反序列化的過程中執行惡意代碼,從而導致遠程代碼執行。

更新時間:

20220705


事件名稱:

HTTP_安全漏洞_fastjson_1.2.62_反序列化遠程代碼執行漏洞

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用fastjsonJSON反序列化遠程代碼執行漏洞對目的IP主機進行攻擊的行為,試圖通過傳入精心構造的惡意代碼或命令來入侵目的IP主機。FastJson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將JavaBean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean,由于具有執行效率高的特點,應用范圍很廣。攻擊成功,可遠程執行任意代碼。

更新時間:

20220705


事件名稱:

HTTP_通用_目錄穿越漏洞[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在嘗試對目的IP主機進行目錄穿越漏洞攻擊嘗試的行為。目錄穿越漏洞能使攻擊者繞過Web服務器的訪問限制,對web根目錄以外的文件夾,任意地讀取甚至寫入文件數據。此規則是一條通用規則,其他漏洞(甚至一些0day漏洞)攻擊的payload也有可能觸發此事件報警。由于正常業務中一般不會產生此事件特征的流量,所以需要重點關注。允許遠程攻擊者訪問敏感文件。

更新時間:

20220705


事件名稱:

HTTP_通達OA_任意文件上傳/文件包含漏洞

安全類型:

安全漏洞

事件描述:

通達OA是一套辦公系統。由于通達OA中存在的兩枚漏洞(文件上傳漏洞,文件包含漏洞),攻擊者可通過這兩枚漏洞實現遠程命令執行。/ispirit/im/upload.php存在繞過登錄(任意文件上傳漏洞),結合gateway.php處存在的文件包含漏洞,最終導致getshell。

更新時間:

20220705


事件名稱:

HTTP_可疑行為_Fastjson_dnslog探測

安全類型:

安全審計

事件描述:

檢測到源ip正在利用dnslog探測主機后端是否是fastjson;

更新時間:

20220705


事件名稱:

HTTP_可疑行為_Fastjson漏洞_編碼利用

安全類型:

可疑行為

事件描述:

FastJson是阿里巴巴的開源JSON解析庫,它可以解析JSON格式的字符串,支持將JavaBean序列化為JSON字符串,也可以從JSON字符串反序列化到JavaBean,由于具有執行效率高的特點,應用范圍很廣。攻擊成功,可遠程執行任意代碼。fastjson可接受并解析hex編碼內容,因此攻擊者可利用hex編碼繞過檢測設備。

更新時間:

20220705


事件名稱:

TCP_僵尸網絡_BlackMoon_連接

安全類型:

其他事件

事件描述:

檢測到BlackMoon遠控試圖連接遠程服務器,源IP所在的主機可能被植入了僵尸網絡BlackMoon。BlackMoon主要功能是對指定目標發起DDoS攻擊,通過關聯分析發現,該BlackMoon僵尸網絡傳播方式之一是借助獨狼(Rovnix)僵尸網絡進行傳播。獨狼僵尸網絡通過帶毒激活工具(暴風激活、小馬激活、KMS等)進行傳播,常被用來推廣病毒和流氓軟件。

更新時間:

20220705

 

 

上一篇 下一篇