首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2022-11-08

發布時間 2022-11-08
新增事件

 

事件名稱:

HTTP_可疑行為_疑似訪問惡意JNDI服務_JNDIExploit工具

安全類型:

安全漏洞

事件描述:

檢測到疑似訪問JNDIExploit工具生成的惡意JNDI服務地址,可能正在遭受java反序列化攻擊。

更新時間:

20221108

 

事件名稱:

TCP_提權攻擊_Apache_Batik_代碼執行[CVE-2022-40146]

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用ApacheBatik全版本中存在的代碼執行漏洞,從而獲取目標主機的權限。Batik是一個基于Java的工具包,適用于希望將可縮放矢量圖形(SVG)格式的圖像用于各種目的(例如顯示、生成或操作)的應用程序或小程序。

更新時間:

20221108

 

事件名稱:

HTTP_文件操作攻擊_SiteServerCMS_文件下載[CVE-2022-36226]

安全類型:

安全漏洞

事件描述:

SiteServerCMS5.0版本存在一個遠程模板文件下載漏洞。該漏洞是由于后臺模板下載位置未對用戶權限進行校驗,且ajaxOtherService中的downloadUrl參數可控,攻擊者可利用該漏洞,遠程植入webshell。

更新時間:

20221108

 

事件名稱:

HTTP_提權攻擊_ScriptEngineManager_SnakeYAML反序列化利用鏈_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用SnakeYAMLScriptEngineManager反序列化利用鏈進行攻擊,從而獲取目標系統權限。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式數據的類庫,它提供了dump方法可以將一個Java對象轉為Yaml格式字符串,其load方法也能夠將Yaml字符串轉為Java對象。

更新時間:

20221108

 

事件名稱:

HTTP_提權攻擊_JdbcRowSetImpl_SnakeYAML反序列化利用鏈_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用SnakeYAML的JdbcRowSetImpl反序列化利用鏈進行攻擊,從而獲取目標系統權限。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式數據的類庫,它提供了dump方法可以將一個Java對象轉為Yaml格式字符串,其load方法也能夠將Yaml字符串轉為Java對象。

更新時間:

20221108

 

事件名稱:

HTTP_提權攻擊_XBean_SnakeYAML反序列化利用鏈_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用XBean反序列化利用鏈進行攻擊,從而獲取目標系統權限。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式數據的類庫,它提供了dump方法可以將一個Java對象轉為Yaml格式字符串,其load方法也能夠將Yaml字符串轉為Java對象。

更新時間:

20221108

 

事件名稱:

HTTP_提權攻擊_JndiRefForwardingDataSource_SnakeYAML反序列化利用鏈_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用CP30JndiRefForwardingDataSource反序列化利用鏈進行攻擊,從而獲取目標系統權限。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式數據的類庫,它提供了dump方法可以將一個Java對象轉為Yaml格式字符串,其load方法也能夠將Yaml字符串轉為Java對象。

更新時間:

20221108

 

事件名稱:

HTTP_提權攻擊_WrapperConnectionPoolDataSource_SnakeYAML反序列化利用鏈_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用CP30WrapperConnectionPoolDataSource反序列化利用鏈進行攻擊,從而獲取目標系統權限。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式數據的類庫,它提供了dump方法可以將一個Java對象轉為Yaml格式字符串,其load方法也能夠將Yaml字符串轉為Java對象。

更新時間:

20221108

 

事件名稱:

HTTP_提權攻擊_Resource_SnakeYAML反序列化利用鏈_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用Resource反序列化利用鏈進行攻擊,從而獲取目標系統權限。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式數據的類庫,它提供了dump方法可以將一個Java對象轉為Yaml格式字符串,其load方法也能夠將Yaml字符串轉為Java對象。

更新時間:

20221108

 

事件名稱:

HTTP_可疑行為_遠程命令執行(通過參數傳輸)

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在通過HTTP請求的參數向目的IP發送疑似帶有遠程命令執行關鍵字的請求。

更新時間:

20221108

 

事件名稱:

HTTP_可疑行為_遠程命令執行(通過參數傳輸)

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在通過HTTP請求的參數向目的IP發送疑似帶有遠程命令執行關鍵字的請求。

更新時間:

20221108

 

修改事件

 

事件名稱:

HTTP_提權攻擊_Oracle_WebLogic_反序列化_代碼執行[CVE-2019-2725/CVE-2019-2729]

安全類型:

安全漏洞

事件描述:

此漏洞是由于應用在處理反序列化輸入信息時存在缺陷,攻擊者可以通過發送精心構造的惡意HTTP請求,用于獲得目標服務器的權限,并在未授權的情況下執行遠程命令,最終獲取服務器的權限。CVE-2019-2729是CVE-2019-2725的繞過。受影響版本為:OracleWebLogicServer,versions10.3.6.0.0,12.1.3.0.0,12.2.1.3.0

更新時間:

20221108

 

事件名稱:

TCP_提權攻擊_Jackson_Databind_反序列化_代碼執行[CVE-2019-14379]

安全類型:

安全漏洞

事件描述:

Jackson是一個能夠將java對象序列化為JSON字符串,也能夠將JSON字符串反序列化為java對象的框架。攻擊者可能利用jackson的可疑反序列化類ehcache攻擊目的IP主機。

更新時間:

20221108

 

事件名稱:

HTTP_提權攻擊_Apache_Shiro_v1.7.1以下_權限繞過[CVE-2020-17523][CNNVD-202102-238]

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用ApacheShiro1.7.1之前版本存在的權限繞過漏洞,從而在未授權的情況下繞過shiro的權限校驗訪問到敏感內容。ApacheShiro是一個強大且易用的Java安全框架,它可以用來執行身份驗證、授權、密碼和會話管理。目前常見集成于各種應用中進行身份驗證,授權等

更新時間:

20221108

 

事件名稱:

HTTP_安全審計_可疑UA

安全類型:

安全審計

事件描述:

檢測到源IP地址的主機正在使用WEB掃描工具(如:sqlmap、nessus等)對目的IP地址進行漏洞掃描。WEB掃描器通常是攻擊者用來做服務掃描、漏洞測試等。通過漏洞掃描,可以自動快速探測一些常見漏洞情況,當存在漏洞時便于后續進行利用攻擊。

更新時間:

20221108

 

事件名稱:

HTTP_木馬后門_Win32.Zebrocy.Downloader(APT28)_連接

安全類型:

木馬后門

事件描述:

檢測到Zebrocy試圖連接遠程服務器。源IP所在的主機可能被植入了Zebrocy。Zebrocy是APT28組織使用的工具,包含3個組件。其中兩個基于Delphi、AutoIT的下載者木馬,另一個是基于Delphi的后門,本事件是針對下載者木馬的檢測。APT28是具有俄羅斯背景的APT組織,也被稱為Sofacy、FancyBear、Sednit、TsarTeam等。

更新時間:

20221108

 

事件名稱:

HTTP_文件操作攻擊_Coppermine_Photo_Gallery_目錄遍歷

安全類型:

CGI攻擊

事件描述:

檢測到源IP主機正在利用CopperminePhotoGallery中存在的目錄遍歷漏洞進行攻擊的行為。CopperminePhotoGallery(CPG)是Coppermine團隊開發的一套基于Web的相冊管理系統。該系統提供用戶管理、相冊密碼訪問限制和自動生成縮略圖等功能。CopperminePhotoGallery的1.5.44及之前版本的pic_editor.php存在目錄遍歷漏洞。該漏洞源于程序沒有正確檢查用戶的輸入。遠程攻擊者可借助目錄遍歷字符‘../'、‘..%2f..%2f’利用該漏洞讀取任意文件。允許遠程攻擊者讀取任意文件

更新時間:

20221108

 

事件名稱:

TCP_提權攻擊_WebLogic_Blind_XXE注入[CVE-2020-14820][CNNVD-202010-994]

安全類型:

注入攻擊

事件描述:

檢測到源IP主機正在利用WebLogicBlindXXE注入漏洞對目的主機進行攻擊的行為,該漏洞主要影響Weblogic10.3.6.0.0Weblogic12.1.3.0.0Weblogic12.2.1.3.0Weblogic12.2.1.4.0Weblogic14.1.1.0.0版本,通過該漏洞,攻擊者可以在未授權的情況下將payload封裝在T3或IIOP協議中,通過對協議中的payload進行反序列化,從而實現對存在漏洞的WebLogic組件進行遠程BlindXXE攻擊。

更新時間:

20221108

 

事件名稱:

HTTP_提權攻擊_ThinkCMF_代碼執行

安全類型:

安全漏洞

事件描述:

ThinkCMF是一款基于ThinkPHP+MySQL開發的開源中文內容管理框架。遠程攻擊者在無需任何權限情況下,可利用此漏洞構造惡意的url,向服務器寫入任意內容的文件,達到遠程代碼執行的目的。影響版本ThinkCMFX1.6.0,ThinkCMFX2.1.0,ThinkCMFX2.2.0,ThinkCMFX2.2.1,ThinkCMFX2.2.2,ThinkCMFX2.2.3。

更新時間:

20221108

 

事件名稱:

HTTP_提權攻擊_WebSVN_遠程命令執行[CVE-2021-32305]

安全類型:

安全漏洞

事件描述:

檢測到源ip正在通過WebSVN的search.php頁面構造任意命令進行攻擊,從而下載惡意文件或執行惡意命令。WebSVN是一個基于Web的SubversionRepository瀏覽器,可以查看文件或文件夾的日志,查看文件的變化列表等。

更新時間:

20221108

 

事件名稱:

TCP_木馬后門_Win32/Linux_ircBot_連接

安全類型:

其他事件

事件描述:

檢測到ircBot試圖連接遠程服務器。源IP所在的主機可能被植入了ircBot。ircBot是基于irc協議的僵尸網絡,主要功能是對指定目標主機發起DDoS攻擊。還可以下載其他病毒到被植入機器。對指定目標主機發起DDoS攻擊。

更新時間:

20221108

 

事件名稱:

HTTP_安全漏洞_ToTolink_N600R路由器_Exportovpn_未授權命令注入

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正試圖通過ToTolinkN600R路由器Exportovpn命令注入漏洞攻擊目的IP主機。在ToTolinkN600R路由器的cstecgi.cgi文件中,exportovpn接口存在命令注入,攻擊者可借此未驗證遠程執行惡意命令。

更新時間:

20221108

 

事件名稱:

HTTP_安全漏洞_若依CMS_遠程命令執行漏洞

安全類型:

安全漏洞

事件描述:

若依后臺管理系統使用了snakeyaml的jar包,snakeyaml是用來解析yaml的格式,可用于Java對象的序列化、反序列化。由于若依后臺計劃任務處,對于傳入的"調用目標字符串"沒有任何校驗,導致攻擊者可以構造payload遠程調用jar包,從而執行任意命令。

更新時間:

20221108

 

上一篇 下一篇