首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2022-07-19

發布時間 2022-07-19

新增事件


事件名稱:

TCP_后門_Win32.Avzhan.DDoS.Bot_連接_1

安全類型:

其他事件

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了木馬Avzhan。Avzhan是一個后門,主要功能是對指定目的主機發起DDoS攻擊。還可以下載其他病毒到被植入機器。對指定目的主機發起DDoS攻擊。

更新時間:

20220719


事件名稱:

HTTP_提權攻擊_Apache_OFBiz_rmi反序列化漏洞[CVE-2021-26295][CNNVD-202103-1262]

安全類型:

安全漏洞

事件描述:

ApacheOFBiz存在RMI反序列化前臺命令執行,未經身份驗證攻擊者可構造惡意請求,觸發反序列化,從而造成任意代碼執行,控制服務器。

更新時間:

20220719


事件名稱:

HTTP_可疑行為_探測php遠程命令執行

安全類型:

可疑行為

事件描述:

檢測到主機正在向目的IP發送探測php遠程命令執行的請求。此攻擊多為漏洞掃描器產生。

更新時間:

20220719

 

事件名稱:

HTTP_安全漏洞_Apache-Airflow_遠程代碼執行[CVE-2022-24288][CNNVD-202202-1940]

安全類型:

安全漏洞

事件描述:

ApacheAirflow2.2.4之前的版本中,一些示例DAG沒有正確清理用戶提供的參數,使其容易受到來自WebUIOS命令注入的影響。

更新時間:

20220719


事件名稱:

TCP_提權攻擊_Spring-messaging_代碼執行[CVE-2018-1270]

安全類型:

安全漏洞

事件描述:

檢測到試圖通過利用Spring框架Spring-messaging模塊遠程代碼執行漏洞進行攻擊的行為,攻擊者可以利用該漏洞執行任意代碼。Spring框架是一個開源的項目,是一個基于IOCAOP的構架多層JavaEE系統的框架。Spring框架通過spring-messageing模塊和STOMP代理對象通訊,spring-message模塊中的DefaultSubscriptionRegistry類方法addSubscriptionInternal存在遠程代碼執行漏洞,攻擊者利用該漏洞可以執行任意Java代碼。嘗試遠程執行任意代碼。

更新時間:

20220719

 

事件名稱:

HTTP_提權攻擊_天融信TopApp-LB負載均衡命令執行漏洞

安全類型:

安全漏洞

事件描述:

天融信負載均衡TopAPP-LB產品舊版本在管理面存在命令執行漏洞,具體為在可以訪問管理登錄頁面情況下,攻擊者通過構造惡意請求,利用系統的代碼缺陷,可拼接相關字段造成命令執行。

更新時間:

20220719


事件名稱:

HTTP_提權攻擊_SpamTitan網關后臺代碼執行漏洞[CVE-2020-11699][CNNVD-202009-1082]

安全類型:

安全漏洞

事件描述:

SpamTitan網關是功能強大的反垃圾郵件設備,它為網絡管理員提供了廣泛的工具來控制郵件流并防止有害的電子郵件和惡意軟件。由于存在代碼缺陷,攻擊者可通過構造惡意payload,使得目標主機執行惡意命令。

更新時間:

20220719


事件名稱:

HTTP_設置缺陷_Zyxel-NBG2015身份驗證繞過[CVE-2021-3297][CNNVD-202101-2231]

安全類型:

安全漏洞

事件描述:

ZyxelNBG2105存在身份驗證繞過漏洞,屬于邏輯/設置錯誤,攻擊者無需登錄,可以直接訪問login_ok.htm頁面,繞過登錄頁面。

更新時間:

20220719


事件名稱:

HTTP_提權攻擊_gitlist-0.6.0_命令執行

安全類型:

安全漏洞

事件描述:

gitlist是一款使用PHP開發的圖形化git倉庫查看工具。在其0.6.0版本中,存在一處命令參數注入問題,可以導致遠程命令執行漏洞。

更新時間:

20220719


事件名稱:

HTTP_文件操作攻擊_GoAhead_c語言_文件上傳[CVE-2021-42342][CNNVD-202110-1020]

安全類型:

安全漏洞

事件描述:

GoAhead是世界上最受歡迎的微型嵌入式Web服務器。它結構緊湊、安全且易于使用。GoAhead部署在數億臺設備中,是最小嵌入式設備的理想選擇。近日爆出GoAhead存在RCE漏洞,漏洞源于文件上傳過濾器處理的不全,當與CGI處理程序一起使用時,可影響環境變量,從而實現RCE

更新時間:

20220719


事件名稱:

HTTP_文件操作攻擊_獵鷹安全-金山終端安全系統_upload.php_任意文件上傳

安全類型:

安全漏洞

事件描述:

當前主機正在遭受金山終端安全系統upload.php任意文件上傳漏洞攻擊,無任何過濾的文件上傳可導致黑客上傳惡意文件控制主機。

更新時間:

20220719


事件名稱:

HTTP_提權攻擊_Webmin-show.cgi_命令執行[CVE-2012-2982][CNNVD-201209-215]

安全類型:

安全漏洞

事件描述:

WebminUnix系統管理Web接口,通過任一瀏覽器都可設置用戶賬戶、Apache、DNS、DNS、文件共享及其他。Webmin1.590及更早版本的file/show.cgi內存在安全漏洞,可允許通過身份驗證的遠程用戶通過路徑名內的無效字符執行任意命令。

更新時間:

20220719


事件名稱:

HTTP_安全漏洞_Maccms8.x_命令執行漏洞

安全類型:

安全漏洞

事件描述:

Maccms8.x及以前版本搜索頁面搜索參數過濾不嚴,攻擊者可構造payload,直接eval執行PHP語句,以獲取主機權限。

更新時間:

20220719


事件名稱:

HTTP_注入攻擊_Django_SQL注入[CVE-2022-34265][CNNVD-202207-347]

安全類型:

注入攻擊

事件描述:

Django是一個基于Python的開源Web應用框架。Django存在一個SQL注入漏洞(CVE-2022-34265)。在受影響的Django版本(3.2.14、4.0.6之前的版本)中,可以通過傳遞惡意數據作為kind/lookup_name的值,如果應用程序在將這些參數傳遞給Trunc()Extract()數據庫函數(日期函數)之前沒有經過輸入過濾或轉義,則容易受到SQL注入攻擊。通過利用此漏洞,第三方可以向數據庫發送命令以訪問未經授權的數據或刪除數據庫等惡意行為。

更新時間:

20220719


事件名稱:

HTTP_木馬后門_PhpSpy-Mysql數據庫管理_Webshell訪問

安全類型:

木馬后門

事件描述:

流量中檢測到phpspy管理mysql數據庫的操作,可能Webshell已被植入正在進行連接行為。webshellweb入侵的腳本攻擊工具。簡單說,webshell就是一個用aspphp等編寫的木馬后門,攻擊者在入侵了一個網站后,常常將這些aspphp等木馬后門文件放置在網站服務器的web目錄中,與正常的網頁文件混在一起。然后攻擊者就可以用web的方式,通過該木馬后門控制網站服務器,包括上傳下載文件、查看數據庫、執行任意程序命令等。webshell可以穿越防火墻,由于與被控制的服務器或遠程主機交換的數據都是通過80端口傳遞的,因此不會被防火墻攔截。并且使用webshell一般不會在系統日志中留下記錄,只會在網站的web日志中留下一些數據提交記錄,管理員較難看出入侵痕跡。

更新時間:

20220719


事件名稱:

TCP_木馬后門_AlmondRat(蔓靈花)_連接

安全類型:

木馬后門

事件描述:

檢測到AlmondRat試圖連接遠程服務器。IP所在的主機可能被植入了AlmondRat。AlmondRat是蔓靈花組織所使用了一個輕量化后門,基于CSharp語言,運行后,可以完全控制被植入機器。

更新時間:

20220719


事件名稱:

HTTP_提權攻擊_Advantech-iView-NetworkServlet_命令執行[CVE-2022-2143][CNNVD-202206-2735]

安全類型:

安全漏洞

事件描述:

AdvantechiView5_7_04_6469版本前存在命令執行漏洞,攻擊者可以在未登錄的情況下利用命令拼接寫入webshell,獲取目標系統權限

更新時間:

20220719


事件名稱:

HTTP_提權攻擊_Netsys硬件設備_命令執行

安全類型:

安全漏洞

事件描述:

Netsys是一套上網行為管理系統。由于其系統存在漏洞,攻擊者可構造惡意payload,執行惡意命令以獲取主機權限。

更新時間:

20220719


事件名稱:

HTTP_提權攻擊_Ruby_conversions.rb_Ruby代碼執行[CVE-2013-0156]

安全類型:

安全漏洞

事件描述:

檢測到源ip正在向目的主機上的Ruby構造惡意的XML外部實體注入代碼進行攻擊;RubyonRails是一個可以使開發、部署、維護web應用程序變得簡單的框架。

更新時間:

20220719


事件名稱:

HTTP_信息泄露_J2EE-WEB-INF配置文件_敏感信息泄露

安全類型:

CGI攻擊

事件描述:

/WEB-INF/web.xmlWeb應用程序配置文件,描述了servlet和其他的應用組件配置及命名規則。/WEB-INF/classes/:包含所有的Servlet類和其他類文件,類文件所在的目錄結構與他們的包名稱匹配。/WEB-INF/lib/:存放web應用需要的各種JAR文件,放置僅在這個應用中要求使用的jar文件,如數據庫驅動jar文件/WEB-INF/src/:源碼目錄,按照包名結構放置各個java文件。/WEB-INF/database.properties:數據庫配置文件。

更新時間:

20220719


事件名稱:

HTTP_信息泄露_Redis_info敏感信息回顯_回顯成功

安全類型:

CGI攻擊

事件描述:

檢測到源IP設備使用redisinfo命令探測當前目的主機上的Redis是否存在未授權訪問漏洞;攻擊者在未授權訪問Redis的情況下,利用Redis自身的提供的config命令,可以進行寫文件操作,攻擊者可以成功將自己的ssh公鑰寫入目標服務器的/root/.ssh文件夾的authotrized_keys文件中,進而可以使用對應私鑰直接使用ssh服務登錄目標服務器。

更新時間:

20220719


事件名稱:

TCP_提權攻擊_JMX-RMI_代碼執行

安全類型:

安全漏洞

事件描述:

JMXJavaManagementExtensions,即Java管理擴展)是一個為應用程序、設備、系統等植入管理功能的框架。在JMX端口對外開放時,攻擊者可以通過Mlet加載一個遠程服務器上的惡意MBean,從而執行惡意代碼獲取目標主機的權限。

更新時間:

20220719


事件名稱:

HTTP_提權攻擊_Spring_Cloud_Netflix_SSRF服務端請求偽造

安全類型:

注入攻擊

事件描述:

檢測到源ip正在利用Spring_Cloud_Netflixorigin參數將請求發送到不應公開公開的其他服務器。SpringCloudNetflix通過自動配置和綁定到SpringEnvironment和其他Spring編程模型習慣用法,為SpringBoot應用程序提供NetflixOSS集成。

更新時間:

20220719


事件名稱:

TCP_提取攻擊_Flask內存馬注入_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到目前目的主機上的Flask服務在開放了添加路由功能的情況下,受到注入代碼執行攻擊。Flask是一個使用Python編寫的輕量級Web應用框架。WSGI工具箱采用Werkzeug,模板引擎則使用Jinja2。

更新時間:

20220719


事件名稱:

HTTP_提權攻擊_Bitsadmin_遠程命令執行

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在向目的IP主機發送Bitsadmin可疑命令,嘗試控制目的IP主機創建上傳或者下載任務。

更新時間:

20220719


事件名稱:

HTTP_提權攻擊_IBOS-4.5.4_命令執行

安全類型:

安全漏洞

事件描述:

IBOS低于4.5.5的版本存在后臺命令執行漏洞,攻擊者在登錄后可以通過數據庫備份功能執行任意系統命令,控制系統權限

更新時間:

20220719


事件名稱:

HTTP_文件操作攻擊_IBOS_后臺數據庫_文件上傳

安全類型:

安全漏洞

事件描述:

檢測到源ip正在向IBOS的文件上傳漏洞,上傳任意文件。

更新時間:

20220719


事件名稱:

HTTP_信息泄露_Weblogic-Server_敏感信息泄露[CVE-2022-21371]

安全類型:

CGI攻擊

事件描述:

OracleWebLogicServer是美國甲骨文(Oracle)公司的一款適用于云環境和傳統環境的應用服務中間件,它提供了一個現代輕型開發平臺,支持應用從開發到生產的整個生命周期管理,并簡化了應用的部署和管理。OracleWebLogicServer存在路徑遍歷漏洞,該漏洞源于WebContainer組件中不正確的輸入驗證。攻擊者可利用該漏洞訪問敏感信息。

更新時間:

20220719


事件名稱:

HTTP_文件操作攻擊_??低?/span>HIKVISION流媒體管理服務器_文件讀取[CNVD-2021-14544]

安全類型:

安全漏洞

事件描述:

??低暿且砸曨l為核心的智能物聯網解決方案和大數據服務提供商。其流媒體管理服務器存在弱口令漏洞和任意文件讀取漏洞,攻擊者可利用該漏洞獲取任意文件信息。

更新時間:

20220719


修改事件


事件名稱:

HTTP_文件操作攻擊_可疑敏感文件下載

安全類型:

安全漏洞

事件描述:

發現敏感文件下載行為,如下載備份文件,程序源碼,SQL文件,配置文件等這類行為。

更新時間:

20220719


事件名稱:

TCP_可疑行為_Java_Shellcode本地進程注入

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用WindowsVirtualMachine類中的enqueue方法對目的主機進行Java本地進程注入攻擊的行為。攻擊者可以發送精心構造的payload,使用惡意類進行進程注入執行任意代碼或命令。遠程執行任意代碼,獲取系統控制權。

更新時間:

20220719


事件名稱:

HTTP_提權攻擊_Alibaba_Nacos_未授權訪問[CVE-2021-29441]

安全類型:

安全漏洞

事件描述:

AlibabaNacos存在一個由于不當處理導致的未授權訪問漏洞。通過該漏洞,攻擊者可以進行任意操作,包括創建新用戶并進行登錄后操作。

更新時間:

20220719


事件名稱:

HTTP_木馬_MuuyDownLoader(蔓靈花)_連接

安全類型:

木馬后門

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了MuuyDownLoader。MuuyDownLoaderAPT組織蔓靈花所使用的一個下載者,運行后,可以下載其它惡意樣本,如后門等。

更新時間:

20220719

 

事件名稱:

HTTP_提權攻擊_fastjson_1.2.68_反序列化_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用fastjsonJSON反序列化遠程代碼執行漏洞對目的主機進行攻擊的行為,試圖通過傳入精心構造的惡意代碼或命令來入侵目的IP主機。fastjson1.2.68以及之前版本存在遠程代碼執行高危安全漏洞。開發者在使用fastjson時,如果編寫不當,可能導致JSON反序列化遠程代碼執行漏洞。攻擊者通過發送一個精心構造的JSON序列化惡意代碼,當程序執行JSON反序列化的過程中執行惡意代碼,從而導致遠程代碼執行。嘗試進行惡意命令或代碼注入,遠程執行任意代碼。

更新時間:

20220719


事件名稱:

HTTP_提權攻擊_SangforEDR_v3.2.21以下_遠程命令執行漏洞

安全類型:

安全漏洞

事件描述:

Sangfor終端檢測響應平臺(EDR)是深信服公司提供的一套終端安全解決方案。此產品存在遠程命令執行漏洞,未經過身份驗證的攻擊者通過發送特制請求包,可以造成遠程執行命令的后果。

更新時間:

20220719

 

事件名稱:

HTTP_提權攻擊_Spring-Data-Commons組件_遠程代碼執行[CVE-2018-1273]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用HTTP_Spring_Data_Commons組件遠程代碼執行漏洞攻擊目的IP主機的行為。攻擊者可構造包含有惡意代碼的SPEL表達式實現遠程代碼攻擊,直接獲取服務器控制權限。SpringData是一個用于簡化數據庫訪問,并支持云服務的開源框架,包含Commons、Gemfire、JPA、JDBC、MongoDB等模塊。此漏洞產生于SpringDataCommons組件,該組件為提供共享的基礎框架,適合各個子項目使用,支持跨數據庫持久化。攻擊成功,可遠程執行任意代碼。

更新時間:

20220719


事件名稱:

HTTP_提權攻擊_Weblogic_wls-wsat_遠程代碼執行漏洞[CVE-2017-3506/10271]

安全類型:

安全漏洞

事件描述:

檢測到源IP地址主機正在向目的IP地址主機發起Weblogicwls-wsat遠程代碼執行漏洞攻擊的行為。OracleWeblogicServer是應用程序服務器。OracleWeblogicServer10.3.6.0、12.2.1.2、12.2.1.1、12.1.3.0版本存在該漏洞。WeblogicWLS組件允許遠程攻擊者執行任意命令。攻擊者向Weblogic服務器發送精心構造的HTTP惡意請求,攻擊成功可以獲取到服務器的Webshell,進一步可以獲得目標服務器的控制權。嘗試利用Weblogicwls-wsat遠程代碼執行漏洞攻擊。

更新時間:

20220719


事件名稱:

HTTP_提權攻擊_Apache_Solr_遠程代碼執行漏洞[CVE-2019-17558][CNNVD-201912-1225]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用ApacheSolrVelocityResponseWriter遠程代碼執行漏洞對目的主機進行攻擊的行為。ApacheSolr是美國阿帕奇(Apache)軟件基金會的一款基于Lucene(一款全文搜索引擎)的搜索服務器。該產品支持層面搜索、垂直搜索、高亮顯示搜索結果等。ApacheSolr5.0.0版本至8.3.1版本中存在輸入驗證錯誤漏洞。該漏洞源于網絡系統或產品未對輸入的數據進行正確的驗證。攻擊者向網站發送精心構造的攻擊payload,攻擊成功可以遠程執行任意命令,進而控制服務器。嘗試進行任意文件讀取,竊取敏感信息。

更新時間:

20220719


上一篇 下一篇