每周升級公告-2022-07-08
發布時間 2022-07-08新增事件
事件名稱: | HTTP_安全漏洞_Confluence_任意文件讀取漏洞[CVE-2019-3396][CNNVD-201903-909] |
安全類型: | 安全漏洞 |
事件描述: | Confluence是款企業知識庫軟件。其中ConfluenceServer和DataCenter產品中使用的小工具連接器widgetconnecter組件(版本<=3.1.3)中存在任意文件讀取漏洞 |
更新時間: | 20220708 |
事件名稱: | HTTP_安全漏洞_UCM6202_1.0.18.13遠程命令注入漏洞[CVE-2020-5722][CNNVD-202003-1337] |
安全類型: | 安全漏洞 |
事件描述: | GrandstreamUCM6200系列的HTTP接口容易受到精心設計的HTTP請求未經身份驗證的遠程SQL注入的攻擊。攻擊者可以使用此漏洞以root身份在1.0.19.20之前的版本中執行shell命令,或在1.0.20.17之前的版本中的密碼恢復電子郵件中注入HTML。 |
更新時間: | 20220708 |
事件名稱: | HTTP_安全漏洞_Netgear_R7000_Router遠程命令執行漏洞 |
安全類型: | 安全漏洞 |
事件描述: | NetgearR7000,固件版本1.0.7.2_1.1.93以及更早期版本,R6400固件版本1.0.1.6_1.0.4以及更早期版本,包含一個包含任意命令注入漏洞.攻擊者可能誘使用戶訪問巧盡心思構建的web站點,從而以根用戶權限在受影響的路由器上執行任意命令。 |
更新時間: | 20220708 |
事件名稱: | TCP_可疑行為_shadow內容文件回顯 |
安全類型: | 可疑行為 |
事件描述: | 發現有etc/shadow文件的回顯頁面 |
更新時間: | 20220708 |
事件名稱: | HTTP_木馬_MuuyDownLoader(蔓靈花)_連接 |
安全類型: | 木馬后門 |
事件描述: | 檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了MuuyDownLoader。MuuyDownLoader是APT組織蔓靈花所使用的一個下載者,運行后,可以下載其它惡意樣本,如后門等。 |
更新時間: | 20220708 |
事件名稱: | TCP_木馬_BeamMiner_嘗試連接礦池(BEAM) |
安全類型: | 蠕蟲病毒 |
事件描述: | 檢測到挖礦木馬試圖連接遠程礦池服務器。源IP所在的主機可能被植入了BeamMiner挖礦木馬。BeamMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。Beam是基于MimbleWimble協議開發的加密貨幣,具有強隱私性、替代性和擴展性。Beam所有交易都默認是私密的。新節點加入網絡無需同步整個交易歷史,可以請求同步只包含系統狀態的壓縮歷史記錄和區塊頭,從而實現快速同步。 |
更新時間: | 20220708 |
事件名稱: | TCP_木馬_BeamMiner_連接礦池成功(BEAM) |
安全類型: | 蠕蟲病毒 |
事件描述: | 檢測到挖礦木馬連接遠程礦池服務器成功的行為。源IP所在的主機可能被植入了BeamMiner挖礦木馬。BeamMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。Beam是基于MimbleWimble協議開發的加密貨幣,具有強隱私性、替代性和擴展性。Beam所有交易都默認是私密的。新節點加入網絡無需同步整個交易歷史,可以請求同步只包含系統狀態的壓縮歷史記錄和區塊頭,從而實現快速同步。 |
更新時間: | 20220708 |
事件名稱: | TCP_木馬_BeamMiner_獲取挖礦任務(BEAM) |
安全類型: | 蠕蟲病毒 |
事件描述: | 檢測到從礦池向礦機下發挖礦任務的行為。源IP所在的主機可能被植入了BeamMiner挖礦木馬。BeamMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。Beam是基于MimbleWimble協議開發的加密貨幣,具有強隱私性、替代性和擴展性。Beam所有交易都默認是私密的。新節點加入網絡無需同步整個交易歷史,可以請求同步只包含系統狀態的壓縮歷史記錄和區塊頭,從而實現快速同步。 |
更新時間: | 20220708 |
事件名稱: | TCP_木馬_CPUMiner_挖礦控制命令通信_礦機設置共享目標(BTC/LTC) |
安全類型: | 蠕蟲病毒 |
事件描述: | 檢測到礦機向礦池表明對共享目標的偏好的行為。源IP所在的主機可能被植入了CPUMiner挖礦木馬。CPUMiner是一款挖礦惡意程序,挖礦程序會占用CPU資源,可能導致受害主機變慢。 |
更新時間: | 20220708 |
事件名稱: | HTTP_提權攻擊_Spring_Boot_H2database_console_遠程代碼執行 |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源ip正在利用h2console的默認路由設置為外部惡意jndi服務器地址。H2Database是一個開源的嵌入式數據庫引擎,采用java語言編寫,不受平臺的限制,同時H2Database提供了一個十分方便的web控制臺用于操作和管理數據庫內容。H2Database還提供兼容模式,可以兼容一些主流的數據庫,因此采用H2Database作為開發期的數據庫非常方便。 |
更新時間: | 20220708 |
事件名稱: | HTTP_安全漏洞_CMS_Joomla代碼執行[CVE-2020-10238] |
安全類型: | 安全漏洞 |
事件描述: | Joomla!是美國OpenSourceMatters團隊的一套使用PHP和MySQL開發的開源、跨平臺的內容管理系統(CMS)。Joomla是一套內容管理系統,是使用PHP語言加上MYSQL數據庫所開發的軟件系統。由于joomla權限分配不合理導致管理員權限賬號可對相關php頁面進行編輯,插入相關惡意代碼導致命令執行。 |
更新時間: | 20220708 |
事件名稱: | HTTP_安全漏洞_Apache_HTTP_Server_路徑穿越漏洞[CVE-2021-42013][CNNVD-202110-413] |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源IP主機正在嘗試對目的IP主機通過ApacheHTTPServer進行目錄穿越漏洞攻擊嘗試的行為。Apache_HTTP_Server是Apache基礎開放的流行的HTTP服務器。 |
更新時間: | 20220708 |
事件名稱: | HTTP_提權攻擊_Gogs_session_未授權訪問[CVE-2018-18925][CNNVD-201811-049] |
安全類型: | 安全漏洞 |
事件描述: | gogs是一款極易搭建的自助Git服務平臺,具有易安裝、跨平臺、輕量級等特點,使用者眾多。其0.11.66及以前版本中,(go-macaron/session庫)沒有對sessionid進行校驗,攻擊者利用惡意sessionid即可讀取任意文件,通過控制文件內容來控制session內容,進而登錄任意賬戶。攻擊者可登陸任意賬號包括管理員賬號,同時可利用githooks執行任意命令,同時存在嚴重的越權和命令執行問題。 |
更新時間: | 20220708 |
事件名稱: | HTTP_提權攻擊_SaltStack_未授權訪問[CVE-2021-25281][CNNVD-202102-1696] |
安全類型: | 安全漏洞 |
事件描述: | SaltAPIwheel_async未授權訪問漏洞中,攻擊者可構造惡意請求,通過wheel_async調用master的wheel插件。 |
更新時間: | 20220708 |
事件名稱: | HTTP_文件操作攻擊_可疑敏感文件下載 |
安全類型: | 安全漏洞 |
事件描述: | 發現敏感文件下載行為,如下載備份文件,程序源碼,SQL文件,配置文件等這類行為。 |
更新時間: | 20220708 |
事件名稱: | HTTP_文件操作攻擊_可疑可執行文件上傳 |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源ip主機存在上傳可疑webshell到目的ip主機的行為 |
更新時間: | 20220708 |
事件名稱: | TCP_可疑行為_Java_Shellcode本地進程注入 |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源IP主機正在利用WindowsVirtualMachine類中的enqueue方法對目的主機進行Java本地進程注入攻擊的行為。攻擊者可以發送精心構造的payload,使用惡意類進行進程注入執行任意代碼或命令。遠程執行任意代碼,獲取系統控制權。 |
更新時間: | 20220708 |
事件名稱: | HTTP_安全漏洞_CouchDB_垂直越權漏洞[CVE-2017-12635][CNNVD-201711-487] |
安全類型: | 安全漏洞 |
事件描述: | ApacheCouchDB是一個開源數據庫,專注于易用性和成為”完全擁抱web的數據庫”。它是一個使用JSON作為存儲格式,JavaScript作為查詢語言,MapReduce和HTTP作為API的NoSQL數據庫。導致漏洞的原因是Erlang和JavaScript,對JSON解析方式的不同,對于重復的鍵Erlang會存儲兩個值,而JavaScript只存儲第二個值。 |
更新時間: | 20220708 |
事件名稱: | HTTP_安全漏洞_Discuz!ML_V3.X_命令執行漏洞 |
安全類型: | 安全漏洞 |
事件描述: | Discuz!ML系統對cookie中接收的language參數內容未過濾,導致字符串拼接,從而執行php代碼。 |
更新時間: | 20220708 |
事件名稱: | HTTP_可疑行為_OpenSSL_反彈shell命令注入 |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源IP主機正在向目的主機進行OpenSSL反彈shell命令注入攻擊。反彈連接,是指攻擊者指定服務端,受害者主機主動連接攻擊者的服務端程序。反彈shell通常用于被控端因防火墻受限、權限不足、端口被占用等情形。攻擊者攻擊成功后可以遠程執行系統命令。 |
更新時間: | 20220708 |
事件名稱: | HTTP_代碼執行_CMS-Phpcms:V9.5.8_后臺getshell |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源IP主機正在利用CMS-Phpcms:V9.5.8后臺任意代碼執行漏洞對目的主機進行攻擊的行為,該漏洞利用content.php文件構造惡意payload,從而造成代碼執行。 |
更新時間: | 20220708 |
事件名稱: | HTTP_木馬后門_Covenant_連接C2服務器_上傳信息或命令交互 |
安全類型: | 木馬后門 |
事件描述: | Covenant是一個.NET開發的C2(commandandcontrol)框架,使用.NETCore的開發環境,不僅支持Linux,MacOS和Windows,還支持docker容器。Covenant支持動態編譯,能夠將輸入的C#代碼上傳至C2Server,獲得編譯后的文件并使用Assembly.Load()從內存進行加載。該事件表明,Covenant的生成物Grunts木馬后門正在連接C2服務器進行上傳信息或命令交互。 |
更新時間: | 20220708 |
事件名稱: | HTTP_安全漏洞_Alibaba-Canal-config云密鑰信息泄露漏洞 |
安全類型: | CGI攻擊 |
事件描述: | canal是阿里巴巴旗下的一款開源項目,因權限問題,攻擊者可通過特定的地址訪問獲取一些較為敏感的數據。 |
更新時間: | 20220708 |
事件名稱: | HTTP_安全漏洞_laravel_pop3利用鏈攻擊[CVE-2022-31279][CNNVD-202206-671] |
安全類型: | 安全漏洞 |
事件描述: | Laravel9.1.8在處理攻擊者控制的反序列化數據時,允許通過Illuminate\Broadcasting\PendingBroadcast.php中的__destruct和Faker\Generator.php中的__call中的未序列化彈出鏈執行遠程代碼執行(RCE)。 |
更新時間: | 20220708 |
事件名稱: | HTTP_安全漏洞_Apache-Airflow_遠程代碼執行[CVE-2022-24288][CNNVD-202202-1940] |
安全類型: | 安全漏洞 |
事件描述: | 在ApacheAirflow2.2.4之前的版本中,一些示例DAG沒有正確清理用戶提供的參數,使其容易受到來自WebUI的OS命令注入的影響。 |
更新時間: | 20220708 |
事件名稱: | HTTP_提權攻擊_Apache_Shiro_v1.7.1以下_非授權訪問[CVE-2020-17523][CNNVD-202102-238] |
安全類型: | 安全漏洞 |
事件描述: | ApacheShiro是一個強大且易用的Java安全框架,它可以用來執行身份驗證、授權、密碼和會話管理。目前常見集成于各種應用中進行身份驗證,授權等。對于ApacheShiro1.7.1之前的版本,當將ApacheShiro與Spring控制器一起使用時,攻擊者特制請求可能會導致身份驗證繞過。 |
更新時間: | 20220708 |
事件名稱: | HTTP_提權攻擊_SangforEDR不高于3.2.19_非授權訪問 |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源IP主機正在試圖通過SangforEDR的非授權訪問漏洞,輸入user=admin即可獲取用戶權限。Sangfor終端檢測響應平臺(EDR)是深信服公司提供的一套終端安全解決方案。 |
更新時間: | 20220708 |
事件名稱: | HTTP_安全漏洞_CLTPHP-v5.8_后臺任意文件刪除 |
安全類型: | 安全漏洞 |
事件描述: | CLTPHP是基于ThinkPHP5開發,后臺采用Layui框架的內容管理系統。CLTPHP5.8及之前版本存在后臺任意文件刪除漏洞,通過構造惡意payload攻擊者可刪除系統中的任意文件。 |
更新時間: | 20220708 |
事件名稱: | TCP_提權攻擊_AspectJWeaver_Java反序列化利用鏈攻擊 |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源IP主機正在利用aspectjweaver的Java反序列化利用鏈對目的主機進行攻擊的行為。若訪問的應用存在漏洞JAVA反序列化漏洞且使用了存在aspectjweaver:1.9.2,commons-collections:3.2.2的依賴,攻擊者可以發送精心構造的Java序列化對象,遠程執行任意代碼或命令。遠程執行任意代碼,獲取系統控制權。 |
更新時間: | 20220708 |
事件名稱: | HTTP_文件操作攻擊_Gila-CMS-2.0.0_文件寫入 |
安全類型: | 安全漏洞 |
事件描述: | GilaCMS2.0.0版本及以下版本會將User-Agent中的內容寫入到GSESSIONIDcookie中指定的文件中,因此可以利用這點將webshell寫入到php文件中,造成任意代碼執行。 |
更新時間: | 20220708 |
事件名稱: | HTTP_提權攻擊_上海格爾安全認證網關管理系統_service.php_命令執行 |
安全類型: | 安全漏洞 |
事件描述: | 上海格爾安全認證網關管理系統存在一個命令執行漏洞,該漏洞源于service.php中對傳入的service_path參數內容過濾不嚴謹,攻擊者可以通過構造惡意請求,遠程執行任意命令。 |
更新時間: | 20220708 |
事件名稱: | HTTP_提權攻擊_上海格爾安全認證網關管理系統_PrivManager.php_命令執行 |
安全類型: | 安全漏洞 |
事件描述: | 上海格爾安全認證網關管理系統存在一個命令執行漏洞,該漏洞源于PrivManager.php中對傳入的mode_type參數內容過濾不嚴謹,攻擊者可以通過構造惡意請求,遠程執行任意命令。 |
更新時間: | 20220708 |
事件名稱: | HTTP_提權攻擊_上海格爾安全認證網關管理系統_SetVer.php_命令執行 |
安全類型: | 安全漏洞 |
事件描述: | 上海格爾安全認證網關管理系統存在一個命令執行漏洞,該漏洞源于SetVer.php中對傳入的version_type參數內容過濾不嚴謹,攻擊者可以通過構造惡意請求,遠程執行任意命令。 |
更新時間: | 20220708 |
事件名稱: | TCP_提權攻擊_PHP-8.1.0-dev_遠程代碼執行 |
安全類型: | 安全漏洞 |
事件描述: | PHP8.1.0-dev于2021年3月28日發布的版本中存在后門,通過User-Agentt頭可以執行任意代碼或命令 |
更新時間: | 20220708 |
事件名稱: | TCP_提權攻擊_Spring3_Java反序列化利用鏈攻擊 |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源IP主機正在利用Spring3的Java反序列化利用鏈對目的主機進行攻擊的行為。若訪問的應用存在漏洞JAVA反序列化漏洞且使用了spring-tx:5.2.3.RELEASE,spring-context:5.2.3.RELEASE,javax.transaction-api:1.2,攻擊者可以發送精心構造的Java序列化對象,遠程執行任意代碼或命令,獲取系統控制權。 |
更新時間: | 20220708 |
事件名稱: | TCP_提權攻擊_JRMPListener_Java反序列化利用鏈攻擊 |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源IP主機正在利用JRMPListener的Java反序列化利用鏈對目的主機進行攻擊的行為。攻擊者可以發送精心構造的Java序列化對象,遠程執行任意代碼或命令。遠程執行任意代碼,獲取系統控制權。 |
更新時間: | 20220708 |
事件名稱: | HTTP_提權攻擊_奇安信終端安全管理系統天擎越權訪問漏洞 |
安全類型: | 安全漏洞 |
事件描述: | 檢測到攻擊者正在利用天擎前臺直接訪問目錄可獲取數據庫相關信息 |
更新時間: | 20220708 |
事件名稱: | HTTP_安全漏洞_Netgear-交換機_命令注入[CVE-2021-33514][CNNVD-202105-1401] |
安全類型: | 安全漏洞 |
事件描述: | 設備在接收到setup.cgi?token=';$HTTP_USER_AGENT;'一類數據事,由于未進行安全過濾,存在被攻擊者通過存心構造的惡意數據攻擊,導致在設備上執行任意命令。 |
更新時間: | 20220708 |
修改事件
事件名稱: | HTTP_敏感信息泄露_常見敏感文件訪問 |
安全類型: | CGI攻擊 |
事件描述: | 檢測到源IP主機正在探測目的ip主機中可能暴露在外的敏感文件。 |
更新時間: | 20220708 |
事件名稱: | HTTP_Oracle_WebLogic_反序列化漏洞[CVE-2019-2725/CVE-2019-2729] |
安全類型: | 安全漏洞 |
事件描述: | 此漏洞是由于應用在處理反序列化輸入信息時存在缺陷,攻擊者可以通過發送精心構造的惡意HTTP請求,用于獲得目標服務器的權限,并在未授權的情況下執行遠程命令,最終獲取服務器的權限。CVE-2019-2729是CVE-2019-2725的繞過。 |
更新時間: | 20220708 |
事件名稱: | HTTP_代碼執行_Apache_DolphinScheduler_遠程代碼執行漏洞[CVE-2020-11974][CNNVD-202012-1358] |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源IP主機正在利用ApacheDolphinScheduler的JDBC客戶端進行反序列化操作進而導致遠程代執行。ApacheDolphinScheduler(Incubator,原EasyScheduler)是一個分布式數據工作流任務調度系統,主要解決數據研發ETL錯綜復雜的依賴關系,而不能直觀監控任務健康狀態等問題。 |
更新時間: | 20220708 |
事件名稱: | HTTP_安全漏洞_Horde_Groupware_Webmail_Edition_反序列化遠程代碼執行漏洞[ZDI-20-1051] |
安全類型: | 安全漏洞 |
事件描述: | HordeGroupwareWebmail是美國Horde公司的一套基于瀏覽器的企業級通信套件。HordeGroupwareWebmail中存在代碼注入漏洞。允許攻擊者在IMP_Prefs_Sort類的構造函數中對不受信任的數據漏洞進行反序列化。低特權的經過身份驗證的攻擊者可以利用這一點來實現遠程代碼執行 |
更新時間: | 20220708 |
事件名稱: | HTTP_安全漏洞_MidaSolutionseFramework_ajaxreq.php命令注入漏洞[CVE-2020-15920][CNNVD-202007-1517] |
安全類型: | 安全漏洞 |
事件描述: | MidaSolutions是一家專注于統一通信(UC)的高技能意大利公司,Mida團隊已成為統一協作和專業溝通的全球領導者,幾乎所有行業的服務提供商,系統集成商。其合作伙伴有微軟,思科,惠普,中國電信等40個世界知名企業。MidaeFramework是MidaSolutions公司旗下視頻和語音應用程序的完整服務套件,與幾乎所有主要的UC平臺兼容。該套件包括話務員控制臺,記錄器,傳真服務器,計費,隊列管理器,自動話務員,移動應用程序,電話服務。MidaSolutionseFramework2.9.0及之前版本中存在操作系統命令注入漏洞。它使未經身份認證的攻擊者能夠獲得具有管理(root)特權的遠程代碼執行(RCE)。注入點位于未公開的PHP頁面上,該頁面可以使用GET或POST惡意負載作為目標。 |
更新時間: | 20220708 |
事件名稱: | HTTP_代碼執行_SaltStack_遠程代碼執行漏洞[CVE-2020-16846/CVE-2020-25592][CNNVD-202011-302/CNNVD-202011-308] |
安全類型: | 安全漏洞 |
事件描述: | 檢測到源IP正在利用SaltStack的salt-api接口執行任意命令;SaltStack是一個分布式運維系統,在互聯網場景中被廣泛應用,有以下兩個主要功能:配置管理系統,能夠將遠程節點維護在一個預定義的狀態(例如,確保安裝特定的軟件包并運行特定的服務)分布式遠程執行系統,用于在遠程節點上單獨或通過任意選擇標準來執行命令和查詢數據。該事件由兩個組合的CVE漏洞的使用產生,通過CVE-2020-25592構造任意“eauth”/“token”值,繞過身份認證;通過CVE-2020-16846執行shell。 |
更新時間: | 20220708 |
事件名稱: | HTTP_安全漏洞_SQL_Server_遠程代碼執行漏洞[CVE-2020-0618][CNNVD-202002-496] |
安全類型: | 安全漏洞 |
事件描述: | SQLServer是Microsoft開發的一個關系數據庫管理系統(RDBMS),是現在世界上廣泛使用的數據庫之一。該漏洞源于獲得低權限的攻擊者向受影響版本的SQLServer的ReportingServices實例發送精心構造的請求,可利用此漏洞在報表服務器服務帳戶的上下文中執行任意代碼。 |
更新時間: | 20220708 |
事件名稱: | HTTP_可疑行為_PHP反序列化對象格式數據發現 |
安全類型: | 可疑行為 |
事件描述: | 若程序未對用戶輸入的序列化字符串進行檢測,則可能導致攻擊者可以控制反序列化過程,通過在參數中注入一些代碼,從而達到代碼執行,SQL注入,目錄遍歷等不可控后果。 |
更新時間: | 20220708 |