首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2022-11-22

發布時間 2022-11-22
新增事件



事件名稱:    TCP_后門_Beacon.Payload_連接
安全類型:    木馬后門
事件描述:    檢測到目的IP主機試圖向源IP主機傳輸后門。常見的Beacon包括CobaltStrike的Beacon,以及Metasploit的Meterpreter等。
更新時間:    20221122



事件名稱:    HTTP_文件操作攻擊_Apache_Flink_小于1.11.2_任意文件讀取[CVE-2020-17519][CNNVD-202101-271]
安全類型:    安全漏洞
事件描述:    ApacheFlink1.11.0,1.11.1,1.11.2版本允許攻擊者通過JobManager進程的RESTAPI讀取JobManager本地文件系統上的任何文件(JobManager進程能訪問到的)。
更新時間:    20221122



事件名稱:    HTTP_信息泄露_SQLiteManager_1.2.0_目錄穿越[CVE-2007-1232]
安全類型:    CGI攻擊
事件描述:    檢測到源IP主機正在利用SQLiteManager的目錄穿越漏洞訪問敏感文件。SQLiteManager1.2.0版本中的目錄遍歷漏洞允許遠程攻擊者通過SQLiteManager_currentTheme中的..讀取任意文件。
更新時間:    20221122



事件名稱:    HTTP_提權攻擊_Apache_CouchDB_JSON_命令執行[CVE-2017-12636][CNNVD-201711-486]
安全類型:    安全漏洞
事件描述:    檢測到源ip主機正在利用目的主機上ApacheCouchDB的Restful的API接口存在的漏洞,構造惡意Json格式的數據,從而使非管理員用戶以數據庫系統用戶的身份訪問服務器上的任意shell命令。CouchDB是一個使用JSON作為存儲格式,JavaScript作為查詢語言,MapReduce和HTTP作為API的NoSQL數據庫。CouchDB采用基于Erlang的JSON解析器,與基于JavaScript的JSON解析器不同,CouchDB可以在數據庫中提交帶有角色重復鍵的_users文檔用于實現訪問控制,甚至包括表示管理用戶的_admin角色。
更新時間:    20221122



事件名稱:    HTTP_提權攻擊_致遠OA_ajax.do_未授權訪問
安全類型:    安全漏洞
事件描述:    檢測到源IP正在利用致遠OAV8.0以下版本的未授權漏洞獲取權限來進行進一步文件上傳的攻擊;致遠OA辦公自動化軟件,用于OA辦公自動化軟件的開發銷售。
更新時間:    20221122



事件名稱:    HTTP_文件操作攻擊_若依CMS_小于4.5.1_文件讀取[CNVD-2021-01931]
安全類型:    安全漏洞
事件描述:    檢測到源ip主機正在利用若依CMS<4.5.1版本中的任意文件讀取漏洞,登錄后臺后,可以讀取服務器上的任意文件。若依管理系統是基于SpringBoot的權限管理系統。
更新時間:    20221122



事件名稱:    HTTP_提權攻擊_Microsoft_Exchange_Servers_命令執行[CVE-2022-40140][CVE-2022-41082]
安全類型:    安全漏洞
事件描述:    ExchangeServer是微軟公司的一套電子郵件服務組件,是個消息與協作系統。該系統存在漏洞,可在經過ExchangeServer身份驗證并且具有PowerShell操作權限的情況下利用這些漏洞(組合利用)遠程執行惡意代碼:CVE-2022-41040:MicrosoftExchangeServer服務器端請求偽造(SSRF)漏洞,CVE-2022-41082:MicrosoftExchangeServer遠程代碼執行(RCE)漏洞。
更新時間:    20221122



事件名稱:    HTTP_提權攻擊_Oracle_WebLogic_反序列化繞過[CVE-2019-2725][CNNVD-201904-1251]
安全類型:    安全漏洞
事件描述:    OracleWebLogicServer是OracleCorporation當前開發的JavaEE應用服務器。OracleWebLogicServer10.3.6.0.0、OracleWebLogicServer12.1.3.0.0版本存在反序列化漏洞,該漏洞繞過CVE-2019-2725補丁,漏洞存在wls-wsat和bea_wls9_async_response組件,未經授權的攻擊者可以發送精心構造的惡意HTTP請求,獲取服務器權限,實現遠程代碼執行。
更新時間:    20221122



事件名稱:    SMTP_竊密木馬_Snake_Keylogger_上傳竊密信息
安全類型:    木馬后門
事件描述:    檢測到SnakeKeylogger竊密木馬正在向遠程服務器上傳竊密的各種信息。Snake惡意軟件是一種以.NET編程語言實現的信息竊取惡意軟件。通過網絡釣魚郵件分發。Snake是一種功能豐富的惡意軟件,對用戶的隱私和安全構成重大威脅。Snake具有記錄擊鍵以及剪貼板數據、屏幕截圖和憑據盜竊功能。Snake可以從50多個應用程序中竊取憑據,其中包括FTP客戶端、郵件客戶端、通信平臺和Web瀏覽器等應用程序。Snake支持通過多種協議進行上傳數據,例如FTP、SMTP和Telegram三種方式上傳竊取的信息。
更新時間:    20221122



事件名稱:    HTTP_文件操作攻擊_泛微OA_fileDownload.jsp_文件下載
安全類型:    安全漏洞
事件描述:    檢測到源ip正在利用目的主機上的泛微OAfileDownload.jsp存在的任意文件下載漏洞。攻擊者可以通過..\/來繞過泛微對../的限制,從而實現任意文件下載。泛微OA是國內公司發布的一款移動辦公平臺。
更新時間:    20221122



事件名稱:    HTTP_文件操作攻擊_泛微OA_Ecology_weaver.eui.EuiServlet_文件上傳
安全類型:    安全漏洞
事件描述:    檢測到源ip正在利用目的主機上的泛微OA_Ecology上后臺存在的文件上傳漏洞上傳任意文件,從而獲取權限。泛微OA是國內公司發布的一款移動辦公平臺。
更新時間:    20221122



事件名稱:    HTTP_提權攻擊_Apache_Spark_代碼執行[CVE-2020-9480]
安全類型:    安全漏洞
事件描述:    ApacheSpark是一個開源集群運算框架。在ApacheSpark2.4.5以及更早版本中Spark的認證機制存在缺陷,導致共享密鑰認證失效。攻擊者利用該漏洞,可在未授權的情況下,在主機上執行命令,造成遠程代碼執行。
更新時間:    20221122



修改事件



事件名稱:    TCP_后門_Yakes.qwq連接
安全類型:    其他事件
事件描述:    該事件表明,木馬試圖連接遠程服務器。該事件源IP主機可能被植入了后門Yakes.qwq。Yakes.qwq是基于IRC協議的后門,運行后,把自身代碼插入到系統正常進程。連接遠程IRC命令和控制服務器,接收其指令,并執行。如下載惡意軟件,發起DDOS攻擊。本后門運行后,首先創建假回收站文件夾,并拷貝自身到該文件夾下,達到隱藏的目的。設置注冊表,實現開機啟動隱藏在假回收站里的后門程序。接收并執行IRC服務器的指令。
更新時間:    20221122



事件名稱:    HTTP_木馬后門_webshell_Altman_PHP連接
安全類型:    木馬后門
事件描述:    檢測到源IP主機正在通過Webshell管理工具Altman訪問目的主機上的一句話Webshell,從而得到執行代碼、上傳下載文件等權限。Altman基于.Net4.0開發,整個程序采用mef插件架構。目前完成的功能有:Shell管理、命令執行、文件管理、數據庫管理、編碼器等,腳本類型支持asp、aspx、php、jsp、python。
更新時間:    20221122



事件名稱:    HTTP_文件操作攻擊_Snews_CMS_文件上傳攻擊
安全類型:    安全漏洞
事件描述:    檢測到源IP主機正在利用SnewsCMS中的文件上傳漏洞,上傳惡意文件,從而獲得目的IP主機的執行代碼、文件上傳、數據庫操作等權限。sNews是一完全地自由的、符合標準的、使用PHP和MySQL驅動的內容管理系統(CMS)。
更新時間:    20221122



事件名稱:    HTTP_文件操作攻擊_PHP_chr函數_webshell文件上傳
安全類型:    安全漏洞
事件描述:    檢測到源IP主機正在利用chr函數構造惡意文件繞過關鍵詞檢測,上傳PHP惡意文件,從而獲得目的IP主機的執行代碼、文件上傳、數據庫操作等權限。
更新時間:    20221122



事件名稱:    TCP_提權攻擊_Zabbix_Server_trapper_命令執行
安全類型:    安全漏洞
事件描述:    檢測到源ip正在利用Zabbix的漏洞進行惡意命令執行。Zabbix是由AlexeiVladishev開發的一種網絡監視、管理系統,基于Server-Client架構。在CVE-2017-2824中,其Server端trappercommand功能存在一處代碼執行漏洞,而修復補丁并不完善,導致可以利用IPv6進行繞過,注入任意命令。
更新時間:    20221122



事件名稱:    HTTP_信息泄露_Alibaba_Canal-config_云密鑰_信息泄露
安全類型:    CGI攻擊
事件描述:    canal是阿里巴巴旗下的一款開源項目,因權限問題,攻擊者可通過特定的地址訪問獲取一些較為敏感的數據。
更新時間:    20221122



事件名稱:    TCP_提權攻擊_可疑反彈shell命令注入_攻擊失敗
安全類型:    安全漏洞
事件描述:    檢測到源IP主機正在向目的主機進行BASH_反彈shell命令注入攻擊。反彈連接,是指攻擊者指定服務端,受害者主機主動連接攻擊者的服務端程序。反彈shell通常用于被控端因防火墻受限、權限不足、端口被占用等情形。攻擊者攻擊成功后可以遠程執行系統命令。當執行bash反彈shell命令有誤時,會返回bash:nojobcontrolinthisshell
更新時間:    20221122



事件名稱:    TCP_提權攻擊_ASP.NET_ObjectDataProvider-YamlDotNet利用鏈_ysoserial工具利用_命令執行
安全類型:    安全漏洞
事件描述:    ysoserial.net是在常見.NET庫中發現的實用程序和面向屬性的編程“小工具鏈”的集合,可以在適當的條件下利用.NET應用程序執行不安全的對象反序列化。主驅動程序接受用戶指定的命令并將其包裝在用戶指定的小工具鏈中,然后將這些對象序列化到標準輸出。當類路徑上具有所需小工具的應用程序不安全地反序列化此數據時,將自動調用鏈并導致命令在應用程序主機上執行。
更新時間:    20221122



事件名稱:    HTTP_提權攻擊_yii反序列化_代碼執行[CVE-2020-15148][CNNVD-202009-926]
安全類型:    安全漏洞
事件描述:    檢測到源IP利用目的ip上yii的反序列化漏洞構造序列化文本從而執行遠程命令執行的行為。Yii是一個高性能的PHP5的web應用程序開發框架。通過一個簡單的命令行工具yiic可以快速創建一個web應用程序的代碼框架,開發者可以在生成的代碼框架基礎上添加業務邏輯,以快速完成應用程序的開發。
更新時間:    20221122



事件名稱:    HTTP_提權攻擊_ZendFramework_3.0_反序列化_代碼執行[CVE-2021-3007][CNNVD-202101-025]
安全類型:    安全漏洞
事件描述:    檢測到源IP利用目的ip上ZendFramework3.0的反序列化漏洞構造序列化文本從而執行遠程命令執行的行為。ZENDZendFramework(ZF)是美國Zend(ZEND)公司的一套開源的PHP開發框架,它主要用于開發Web程序和服務。
更新時間:    20221122



事件名稱:    HTTP_信息泄露_Swagger-api工具_敏感文件訪問
安全類型:    CGI攻擊
事件描述:    Swagger是一款RESTFUL接口的、基于YAML、JSON語言的文檔在線自動生成、代碼自動生成的工具。spring框架中也會使用Swagger:springfox-swagger2(2.4)springfox-swagger-ui(2.4),相關文件夾被訪問有信息泄露風險。
更新時間:    20221122



事件名稱:    HTTP_安全漏洞_ToTolink_N600R路由器_Exportovpn_未授權命令注入
安全類型:    安全漏洞
事件描述:    檢測到源IP主機正試圖通過ToTolinkN600R路由器Exportovpn命令注入漏洞攻擊目的IP主機。在ToTolinkN600R路由器的cstecgi.cgi文件中,exportovpn接口存在命令注入,攻擊者可借此未驗證遠程執行惡意命令。
更新時間:    20221122



事件名稱:    HTTP_安全漏洞_若依CMS_遠程命令執行漏洞
安全類型:    安全漏洞
事件描述:    若依后臺管理系統使用了snakeyaml的jar包,snakeyaml是用來解析yaml的格式,可用于Java對象的序列化、反序列化。由于若依后臺計劃任務處,對于傳入的"調用目標字符串"沒有任何校驗,導致攻擊者可以構造payload遠程調用jar包,從而執行任意命令。
更新時間:    20221122


上一篇 下一篇