首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2023-02-07

發布時間 2023-02-07

新增事件

 

事件名稱:

HTTP_木馬后門_Merlin_連接C2服務器

安全類型:

木馬后門

事件描述:

檢測到Merlin_agent試圖連接遠程服務器。源IP所在主機可能被植入了Merlinagent。Merlinagent是一個功能非常強大的后門,運行后,可以完全控制被植入機器。允許攻擊者完全控制被植入機器。允許攻擊者控制被植入機器。

更新時間:

20230207

 

事件名稱:

HTTP_漏洞利用_代碼執行_F5_BIGIP_WSDL格式字符串漏洞[CVE-2023-22374]

安全類型:

安全漏洞

事件描述:

F5BIG-IPiControlPortal.cgi接口存在漏洞,攻擊者在經過身份校驗的情況下可通過構造特殊payload,使目標主機服務崩潰或獲取主機權限。此問題僅影響BIG-IP(不影響BIG-IQ)影響版本:F5BIG-IP17.0.0F5BIG-IP16.1.2.2-16.1.3F5BIG-IP15.1.5.1-15.1.8F5BIG-IP14.1.4.6-14.1.5F5BIG-IP13.1.5

更新時間:

20230207


 

事件名稱:

TCP_僵尸網絡_HinataBot_連接

安全類型:

木馬后門

事件描述:

檢測到HinataBot試圖連接C&C服務器,源IP主機可能被植入了僵尸網絡HinataBot。HinataBotGo語言編寫的DDoS僵尸網絡,主要功能是對指定目標發起DDoS攻擊。共支持linux、windows、freebsd、netbsd、openbsd、solaris、darwin、dragonfly、plan9、android10個操作系統。支持386、amd64、arm、mips、ppc等多個指令集。

更新時間:

20230207

 

事件名稱:

HTTP_提權攻擊_Apache_APISIX_默認密鑰[CVE-2020-13945][CNNVD-202012-424]

安全類型:

安全漏洞

事件描述:

檢測到源ip主機正在利用ApacheAPISIX的默認密鑰漏洞進行攻擊,在用戶未指定管理員Token或使用了默認配置文件的情況下,ApacheAPISIX將使用默認的管理員Tokenedd1c9f034335f136f87ad84b625c8f1,攻擊者利用這個Token可以訪問到管理員接口,進而通過script參數來插入任意LUA腳本并執行。

更新時間:

20230207

 

事件名稱:

TCP_木馬后門_Gh0st.Get_連接

安全類型:

木馬后門

事件描述:

檢測到Gh0st.Get試圖連接遠程服務器。源IP所在的主機可能被植入了遠控后門Gh0st.Get。Gh0st.Get是利用一個根據Gh0st遠控的源碼修改而來的遠控后門,運行后可以完全控制被植入機器。

更新時間:

20230207


 

事件名稱:

HTTP_僵尸網絡_LiteHTTP_連接C2服務器

安全類型:

木馬后門

事件描述:

檢測到LiteHTTP試圖連接C&C服務器。LiteHTTP是一個使用C#編寫的開源僵尸網絡惡意軟件,項目地址為:https://github.com/zettabithf/LiteHTTP,項目有3個目錄,Bot是病毒程序的代碼,Panel是控制端的代碼,使用PHP編寫,Builder是一個生成器,用于快速生成病毒程序。LiteHTTP可以收集主機信息,使用預先約定的密鑰進行加密,然后將加密后的信息以HTTP的方式上傳至控制端服務器,接受控制端的控制碼并執行相應的操作,上傳執行的結果。

更新時間:

20230207

 

事件名稱:

HTTP_文件操作攻擊_Zimbra_文件上傳[CVE-2022-27925][CVE-2022-37042][CNNVD-202204-3909]

安全類型:

安全漏洞

事件描述:

ZimbraCollaborationSuite(ZCS)8.8.159.0具有mboximport功能,可接收ZIP存檔并從中提取文件。通過繞過身份驗證(即沒有身份驗證令牌),攻擊者可以將任意文件上傳到系統,從而導致目錄遍歷和遠程代碼執行。

更新時間:

20230207

 

修改事件

 

事件名稱:

TCP_提權攻擊_Weblogic_ForeignOpaqueReference組件_JNDI注入_代碼執行[CVE-2023-21839]

安全類型:

安全漏洞

事件描述:

OracleWebLogicServer是一個統一的可擴展平臺,用于在本地和云端開發、部署和運行企業應用程序,例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)JakartaEE的可靠、成熟和可擴展的實現。由于ForeignOpaqueReference類存在安全問題,CVE-2023-21839漏洞允許未經身份驗證的遠程攻擊者通過T3/IIOP協議網絡訪問并破壞易受攻擊的WebLogic服務器,成功利用此漏洞可能導致OracleWebLogic服務器被接管或敏感信息泄露。影響范圍:OracleWebLogicServer12.2.1.3.0OracleWebLogicServer12.2.1.4.0OracleWebLogicServer14.1.1.0.0

更新時間:

20230207

 

事件名稱:

HTTP_漏洞利用_文件上傳_ZOHO_ManageEngine_Desktop_Central_statusUpdate[CVE-2014-5005]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用ZOHOManageEngineDesktopCentral中存在的漏洞進行攻擊的行為。ZOHOManageEngineDesktopCentralDC)是美國卓豪(ZOHO)公司的一套桌面管理解決方案。該方案包含軟件分發、補丁管理、系統配置、遠程控制等功能模塊,可對桌面機以及服務器管理的整個生命周期提供支持。ZOHOManageEngineDC9build90055之前版本中存在一個目錄遍歷造成的任意文件上傳漏洞,該漏洞源于程序執行LFU操作時,statusUpdate沒有充分過濾‘fileName’參數,遠程攻擊者可借助目錄遍歷字符‘..’,上傳任意文件。

更新時間:

20230207

 

事件名稱:

HTTP_提權攻擊_Splunk_代碼執行[CVE-2022-43571]

安全類型:

安全漏洞

事件描述:

SplunkEnterprise是機器數據的引擎。使用Splunk可收集、索引和利用所有應用程序、服務器和設備生成的快速移動型計算機數據。關聯并分析跨越多個系統的復雜事件。獲取新層次的運營可見性以及IT和業務智能。由于SplunkEnterpriseSimpleXML儀表板存在代碼注入,經過身份驗證的遠程攻擊者可構造特制的數據包,通過PDF導出操作觸發任意代碼執行。

更新時間:

20230207

 

上一篇 下一篇