首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2023-02-28

發布時間 2023-02-28

新增事件

 

事件名稱:

HTTP_漏洞利用_命令執行_GLPI_htmLawedTest.php

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用GLPI中htmLawedTest.php處的漏洞,進行遠程任意命令執行。GLPI是個人開發者的一款開源IT和資產管理軟件。該軟件提供功能全面的IT資源管理接口,你可以用它來建立數據庫全面管理IT的電腦,顯示器,服務器,打印機,網絡設備,電話,甚至硒鼓和墨盒等。

更新時間:

20230228

 

事件名稱:

HTTP_漏洞利用_未授權訪問_Apache_AXIS_AdminService

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用ApacheAxis未授權訪問漏洞攻擊目的IP主機的行為。ApacheAxis是美國阿帕奇(Apache)軟件基金會的一個開源、基于XML的Web服務架構。該產品包含了Java和C++語言實現的SOAP服務器,以及各種公用服務及API,以生成和部署Web服務應用。漏洞本質是管理員對AdminService的配置錯誤。當enableRemoteAdmin屬性設置為true時,攻擊者可以構造WebService調用freemarker組件中的template.utility.Execute類,遠程利用AdminService接口進行WebService發布,再次訪問生成的WebService接口,傳入要執行的命令,就可以進行遠程命令執行漏洞的利用。

更新時間:

20230228

 

事件名稱:

HTTP_漏洞利用_代碼執行_IBM_Aspera_Faspex[CVE-2022-47986]

安全類型:

安全漏洞

事件描述:

IBMAsperaFaspex是一個基于IBMAspera高速傳輸服務器構建的文件交換應用程序,作為集中傳輸解決方案。借助基于Web的GUI,Faspex為FASP高速傳輸提供了高級管理選項,以匹配相關的工作流程。由于YAML反序列化缺陷,IBMAsperaFaspex可以允許遠程攻擊者在系統上執行任意代碼。通過發送特別制作的過時API調用,攻擊者可以利用此漏洞在系統上執行任意代碼。影響版本:Faspex<=4.4.2

更新時間:

20230228

 

事件名稱:

HTTP_漏洞利用_代碼執行_Spring_Boot_logging.config

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用Actuator的/evn接口通過logging.config參數嘗試遠程代碼執行。SpringBootActuator是一款可以幫助你監控系統數據的框架,其可以監控很多很多的系統數據,它有對應用系統的自省和監控的集成功能,可以查看應用配置的詳細信息。

更新時間:

20230228

 

修改事件

 

事件名稱:

HTTP_漏洞利用_代碼執行_Discuz_X_uc_center

安全類型:

安全漏洞

事件描述:

Discuz!ML系統中,通過后臺修改Ucenter數據庫連接信息,可將惡意代碼寫入config/config_ucenter.php文件中,導致代碼執行。

更新時間:

20230228

 

事件名稱:

HTTP_漏洞利用_代碼執行_Discuz!X3.4

安全類型:

安全漏洞

事件描述:

Discuz!ML系統安裝后未登陸后臺時,可利用文件刪除漏洞刪掉install.lock文件,繞過對安裝完成的判斷能夠再進行安裝的過程,然后將惡意代碼寫入配置文件中從而執行任意代碼。

更新時間:

20230228

 

事件名稱:

HTTP_漏洞利用_代碼執行_Phpcms:V9.5.8_后臺管理

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用CMS-Phpcms:V9.5.8后臺任意代碼執行漏洞對目的主機進行攻擊的行為,該漏洞利用content.php文件構造惡意payload,從而造成代碼執行。

更新時間:

20230228

 

事件名稱:

HTTP_漏洞利用_代碼執行_SpamTitan網關[CVE-2020-11699][CNNVD-202009-1082]

安全類型:

安全漏洞

事件描述:

SpamTitan網關是功能強大的反垃圾郵件設備,它為網絡管理員提供了廣泛的工具來控制郵件流并防止有害的電子郵件和惡意軟件。由于存在代碼缺陷,攻擊者可通過構造惡意payload,使得目標主機執行惡意命令。

更新時間:

20230228

 

事件名稱:

HTTP_偵察掃描_掃描器_DisBuster

安全類型:

安全掃描

事件描述:

DisBuster是滲透測試過程中常用的掃描工具,可以自定義加載自定義字典對目標進行目錄或頁面掃描和爆破。

更新時間:

20230228

 

事件名稱:

TCP_提權攻擊_Weblogic_ForeignOpaqueReference組件_JNDI注入_代碼執行[CVE-2023-21839]

安全類型:

安全漏洞

事件描述:

OracleWebLogicServer是一個統一的可擴展平臺,用于在本地和云端開發、部署和運行企業應用程序,例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)和JakartaEE的可靠、成熟和可擴展的實現。由于ForeignOpaqueReference類存在安全問題,CVE-2023-21839漏洞允許未經身份驗證的遠程攻擊者通過T3/IIOP協議網絡訪問并破壞易受攻擊的WebLogic服務器,成功利用此漏洞可能導致OracleWebLogic服務器被接管或敏感信息泄露。影響范圍:OracleWebLogicServer12.2.1.3.0OracleWebLogicServer12.2.1.4.0OracleWebLogicServer14.1.1.0.0

更新時間:

20230228

 

事件名稱:

TCP_安全漏洞_Apache_Log4j2_遠程代碼執行漏洞[CVE-2021-44228][CNNVD-202112-799]

安全類型:

安全漏洞

事件描述:

ApacheLog4j2是一個用于Java的日志記錄庫,其支持啟動遠程日志服務器。在ApacheLog4j22.15.0_rc1之前的2.x版本中存在安全漏洞。攻擊者可利用該漏洞遠程執行任意代碼

更新時間:

20230228

 

事件名稱:

HTTP_漏洞利用_SQL注入_Django_kind_lookup_name[CVE-2022-34265][CNNVD-202207-347]

安全類型:

注入攻擊

事件描述:

Django是一個基于Python的開源Web應用框架。Django存在一個SQL注入漏洞(CVE-2022-34265)。在受影響的Django版本(3.2.14、4.0.6之前的版本)中,可以通過傳遞惡意數據作為kind/lookup_name的值,如果應用程序在將這些參數傳遞給Trunc()和Extract()數據庫函數(日期函數)之前沒有經過輸入過濾或轉義,則容易受到SQL注入攻擊。通過利用此漏洞,第三方可以向數據庫發送命令以訪問未經授權的數據或刪除數據庫等惡意行為。

更新時間:

20230228

 

事件名稱:

TCP_漏洞利用_反序列化_Weblogic_T3協議[CVE-2020-14756][CVE-2020-14756/CVE-2021-2394]

安全類型:

安全漏洞

事件描述:

OracleWebLogicServer是一個統一的可擴展平臺,用于在本地和云端開發、部署和運行企業應用程序,例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)和JakartaEE的可靠、成熟和可擴展的實現。CVE-2020-2555漏洞可以繞過黑名單通過反序列化觸發Extractor中不安全的extract方法,允許未經身份驗證的遠程攻擊者通過T3協議網絡訪問并破壞易受攻擊的WebLogic服務器,成功利用此漏洞可能導致OracleWebLogic服務器被接管或敏感信息泄露。影響范圍:OracleCoherence10.3.6.0.0OracleCoherence12.1.3.0.0OracleCoherence12.2.1.3.0OracleCoherence12.2.1.4.0

更新時間:

20230228

 

事件名稱:

HTTP_提權攻擊_Spring_Boot_jolokia_logback_遠程代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用Actuator的/jolokia接口調用ch.qos.logback.classic.jmx.JMXConfigurator類的reloadByURL方法設置外部日志配置url地址。SpringBootActuator是一款可以幫助你監控系統數據的框架,其可以監控很多很多的系統數據,它有對應用系統的自省和監控的集成功能,可以查看應用配置的詳細信息。Jolokia允許通過HTTP訪問所有已注冊的MBean,同時可以使用URL列出所有可用的MBeans操作。

更新時間:

20230228

 

事件名稱:

DNS_木馬_可疑礦池域名解析請求

安全類型:

蠕蟲病毒

事件描述:

檢測到木馬試圖連接遠程服務器。源IP所在的主機可能被植入了挖礦木馬。挖礦木馬嘗試連接礦池,受害主機變慢。

更新時間:

20230228

 

事件名稱:

HTTP_代碼執行_WebLogic_反序列化漏洞[CVE-2018-3252][CNNVD-201810-843]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Weblogic構造惡意反序列代碼執行任意命令;OracleWeblogicServer是應用程序服務器。Weblogic應用服務器的ApacheConnector模塊中的mod_wl未對用戶提交的輸入數據進行正確檢查,遠程攻擊者可以利用漏洞進行緩沖區溢出攻擊,可導致拒絕服務或任意代碼執行攻擊。攻擊者可以提交包含超長數據的POST請求觸發此漏洞,精心構建提交數據可導致以應用程序權限執行任意指令,獲得服務器的控制權。

更新時間:

20230228


上一篇 下一篇