每周升級公告-2022-09-06

發布時間 2022-09-06
新增事件

 

事件名稱:

HTTP_文件操作攻擊_VMware_vCenter_Server_文件上傳[CVE-2021-22005]

安全類型:

安全漏洞

事件描述:

VMware是一家云基礎架構和移動商務解決方案廠商,提供基于VMware的虛擬化解決方案。2021年9月22日,VMware官方發布安全公告,披露了包括CVE-2021-22005VMwarevCenterServer任意文件上傳漏洞在內的多個中高危嚴重漏洞。受該漏洞的影響版本為VMwarevCenterServer7.0系列<7.0U2c,VMwarevCenterServer6.7系列<6.7U3o,在CVE-2021-22005中,攻擊者可構造惡意請求,通過vCenter中的Analytics服務,可上傳惡意文件,從而造成遠程代碼執行漏洞。

更新時間:

20220906

 

事件名稱:

HTTP_提權攻擊_Zabbix_小于4.4_未授權訪問

安全類型:

安全漏洞

事件描述:

Zabbix是拉脫維亞ZabbixSIA公司的一套開源的監控系統。該系統可監視各種網絡參數,并提供通知機制讓系統管理員快速定位、解決存在的各種問題。Zabbix存在一個未授權訪問漏洞,通過該漏洞,攻擊者可以在未經授權的情況下訪問Zabbix服務器上的數據,導致敏感信息泄露。

更新時間:

20220906

 

事件名稱:

TCP_木馬后門_wmRat(蔓靈花)_連接

安全類型:

木馬后門

事件描述:

檢測到wmRat試圖連接遠程服務器。源IP所在的主機可能被植入了wmRat。wmRat是蔓靈花組織所使用了一個輕量化后門,基于CSharp語言,運行后,可以完全控制被植入機器。

更新時間:

20220906

 

事件名稱:

TCP_僵尸網絡_Orchard_連接

安全類型:

木馬后門

事件描述:

檢測到僵尸網絡Orchard試圖連接遠程服務器,源IP所在的主機可能被植入了僵尸網絡Orchard。Orchard是2021年2月出現的一個僵尸網絡,使用DGA技術對抗檢測。核心功能在受害者機器上安裝各種惡意軟件,目前為止,主要下載門羅幣挖礦軟件進行挖礦。

更新時間:

20220906

 

事件名稱:

DNS_可疑行為_oast_帶外查詢

安全類型:

CGI攻擊

事件描述:

oast是一個免費的、無需注冊就可以快速使用的DNSLog平臺,能夠對發送過去的DNS請求進行記錄。經常被攻擊者用于傳輸執行命令結果的回顯。

更新時間:

20220906

 

事件名稱:

DNS_可疑行為_interact_帶外查詢

安全類型:

CGI攻擊

事件描述:

interact.sh是interact.sh工具配套的DNSLog平臺,能夠對發送過去的DNS請求進行記錄。經常被攻擊者用于傳輸執行命令結果的回顯。

更新時間:

20220906


 

事件名稱:

TCP_提權攻擊_Struts2_S2-045_代碼執行[CVE-2017-5638]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正試圖通過ApacheStruts2框架命令執行漏洞攻擊目的IP主機。在使用Jakarta插件處理文件上傳操作時可能導致遠程代碼執行漏洞,攻擊者可以在文件上傳時通過構造HTTP請求頭中的Content-Type值可能造成遠程代碼執行漏洞。漏洞存在的版本:Struts2.3.5-Struts2.3.31,Struts2.5-Struts2.5.10嘗試測試驗證ApacheStruts2S2-045遠程代碼執行漏洞,測試不具有攻擊性,但可能暴露系統脆弱性特征。

更新時間:

20220906

 

事件名稱:

TCP_提權攻擊_Struts2_S2-046_代碼執行[CVE-2017-5638]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正試圖通過ApacheStruts2框架命令執行漏洞攻擊目的IP主機。攻擊者在使用Jakarta插件處理文件上傳操作時可能導致遠程代碼執行漏洞,構造惡意OGNL使得上傳文件的大?。ㄓ蒀ontent-Length頭指定)大于Struts2允許的最大大小2GB。漏洞存在的版本:Struts2.3.5-Struts2.3.31,Struts2.5-Struts2.5.10攻擊成功,可遠程執行任意代碼。

更新時間:

20220906

 

修改事件

 

事件名稱:

HTTP_信息泄露_目錄遍歷[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在嘗試對目的IP主機進行目錄穿越漏洞攻擊嘗試的行為。目錄穿越漏洞能使攻擊者繞過Web服務器的訪問限制,對web根目錄以外的文件夾,任意地讀取甚至寫入文件數據。此規則是一條通用規則,其他漏洞(甚至一些0day漏洞)攻擊的payload也有可能觸發此事件報警。由于正常業務中一般不會產生此事件特征的流量,所以需要重點關注。允許遠程攻擊者訪問敏感文件。

更新時間:

20220906