首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2023-04-04

發布時間 2023-04-04

新增事件


事件名稱:

HTTP_漏洞利用_未授權訪問_Apache_ShenYu_管理系統[CVE-2021-37580]

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用ApacheShenYu管理系統的未授權登錄漏洞,攻擊者可通過該漏洞繞過JSONWebToken(JWT)安全認證,直接進入系統后臺。ApacheShenYu是一個異步的,高性能的,跨語言的,響應式的API網關。

更新時間:

20230404

 

事件名稱:

DNS_命令控制_木馬后門_3CXDesktop.Backdoor_連接服務器

安全類型:

安全漏洞

事件描述:

3CXDesktop App部分版本在構建安裝程序時,會觸發攻擊者嵌入的惡意代碼,并下載下一步惡意負載至受害主機執行。

3CXDesktop App適用于Linux、MacOS和Windows。用戶可使用3CXDesktop進行文字、語音、視頻交互。3CX是一家VoIP IPBX軟件開發公司,聲稱擁有超過60萬家公司和1200萬用戶使用,其中包括汽車、航空航天、金融、食品飲料、政府、酒店等多個行業的知名企業。

更新時間:

20230404

 

事件名稱:

DNS_命令控制_遠控后門_毒云藤_連接C2服務器

安全類型:

安全漏洞

事件描述:

發現毒云藤釣魚事件。毒云藤,又名綠斑、APT-C-01等,是一個長期針對國內國防、政府、科技和教育領域的重要機構實施網絡間諜攻擊活動的APT團伙,最早可以追溯到2007年。該組織慣用魚叉式釣魚網絡攻擊,會選取與攻擊目標貼合的誘餌內容進行攻擊活動,慣用的主題包括通知、會議材料、研究報告等或是采用攻擊時間段時事主題。除了附件投遞木馬外,毒云藤還慣用釣魚網站釣魚,竊取目標的賬戶密碼,進而獲得更多重要信息。該組織主要關注方向包括:海事、軍工、涉臺兩岸關系、中美關系等。

更新時間:

20230404

 

事件名稱:

DNS_木馬_雙槍木馬(DoubleGun)_C2域名解析請求

安全類型:

木馬后門

事件描述:

雙槍木馬本身集Rootkit和Bootkit(同時感染MBR和VBR)于一身,還有諸多對抗措施。除此之外,雙槍木馬惡意活動相關的網絡基礎設施十分龐雜,感染路徑繁瑣、傳播手段多樣。該事件表明雙槍木馬正在請求惡意C2域名。

更新時間:

20230404

 

事件名稱:

DNS_木馬后門_魔盜_C2域名解析請求

安全類型:

木馬后門

事件描述:

2022年9月,我們監測到一批偽裝成CorelDraw、Notepad++、IDA Pro、WinHex等多款實用軟件進行傳播的竊密木馬。通過跟蹤監測發現其每日上線境內肉雞數(以IP數計算)最多已超過1.3萬,由于該竊密木馬會收集瀏覽器書簽、郵箱賬戶等信息,故我們將命名為“魔盜”。

 

攻擊者利用 “cdr[.]jyxwlkj.cn”及“cdrnb[.]jyxwlkj.cn”域名建立多個軟件下載頁面,用于投放偽裝成實用軟件的“魔盜”竊密木馬。竊密木馬運行后會收集受害者主機中已安裝的軟件列表與多款瀏覽器的歷史記錄、書簽數據和郵件客戶端郵箱賬戶信息,并加密回傳至攻擊者服務器。由于部分惡意程序具備在線升級能力,因此攻擊者可隨時更改攻擊載荷(如勒索、挖礦、竊密等不同目的的攻擊載荷),給受害者造成更大損失。

更新時間:

20230404

 

事件名稱:

HTTP_漏洞利用_文件上傳_致遠OA_htmlofficeservlet

安全類型:

安全漏洞

事件描述:

檢測到源ip主機正在利用致遠OA中存在的文件上傳漏洞進行攻擊。遠程攻擊者在無需登錄的情況下可通過向/seeyon/htmlofficeservlet發送精心構造的數據即可向目標服務器寫入任意文件,寫入成功后可執行任意系統命令進而控制目標服務器。

更新時間:

20230404

 

事件名稱:

HTTP_漏洞利用_反序列化_Apache_InLong_JDBC[CVE-2023-27296]

安全類型:

安全漏洞

事件描述:

Apache InLong是一個用于海量數據的一站式集成框架,提供自動、安全和可靠的數據傳輸功能。InLong同時支持批處理和流數據處理,為基于流數據構建數據分析、建模和其他實時應用程序提供了強大的能力。由于其存在不安全的反序列化漏洞,攻擊者可通過精心構造的payload攻擊目標服務器,造成任意代碼執行或任意文件讀取。

更新時間:

20230404

 

事件名稱:

HTTP_漏洞利用_代碼執行_pyLoad-pyimport[CVE-2023-0297]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用目的主機上的pyLoad(小于0.5.0b3.dev31),利用js2py功能的未授權漏洞,構造惡意python代碼進行攻擊。pyLoad是一個用Python編寫的免費和開源下載管理器,可用于NAS、下一代路由器、無頭家庭服務器以及任何能夠連接到互聯網并支持Python編程語言的設備。

更新時間:

20230404

 

修改事件

 

事件名稱:

HTTP_安全風險_配置信息_Swagger接口

安全類型:

安全審計

事件描述:

Swagger是一款RESTFUL接口的、基于YAML、JSON語言的文檔在線自動生成、代碼自動生成的工具。spring框架中也會使用Swagger:springfox-swagger2(2.4)springfox-swagger-ui(2.4),相關文件夾被訪問有信息泄露風險。

更新時間:

20230404

 

事件名稱:

TCP_提權攻擊_Weblogic_ForeignOpaqueReference組件_JNDI注入_代碼執行[CVE-2023-21839]

安全類型:

安全漏洞

事件描述:

OracleWebLogicServer是一個統一的可擴展平臺,用于在本地和云端開發、部署和運行企業應用程序,例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)和JakartaEE的可靠、成熟和可擴展的實現。由于ForeignOpaqueReference類存在安全問題,CVE-2023-21839漏洞允許未經身份驗證的遠程攻擊者通過T3/IIOP協議網絡訪問并破壞易受攻擊的WebLogic服務器,成功利用此漏洞可能導致OracleWebLogic服務器被接管或敏感信息泄露。影響范圍:OracleWebLogicServer12.2.1.3.0OracleWebLogicServer12.2.1.4.0OracleWebLogicServer14.1.1.0.0

更新時間:

20230404

 

事件名稱:

TCP_漏洞利用_Oracle_反序列化_Weblogic_T3協議[CVE-2020-14756][CVE-2021-2394]

安全類型:

安全漏洞

事件描述:

OracleWebLogicServer是一個統一的可擴展平臺,用于在本地和云端開發、部署和運行企業應用程序,例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)和JakartaEE的可靠、成熟和可擴展的實現。CVE-2020-2555漏洞可以繞過黑名單通過反序列化觸發Extractor中不安全的extract方法,允許未經身份驗證的遠程攻擊者通過T3協議網絡訪問并破壞易受攻擊的WebLogic服務器,成功利用此漏洞可能導致OracleWebLogic服務器被接管或敏感信息泄露。影響范圍:OracleCoherence10.3.6.0.0OracleCoherence12.1.3.0.0OracleCoherence12.2.1.3.0OracleCoherence12.2.1.4.0

更新時間:

20230404

 

事件名稱:

HTTP_僵尸網絡_Andromeda_連接

安全類型:

木馬后門

事件描述:

檢測到僵尸網絡Andromeda試圖連接遠程服務器,源IP所在的主機可能被植入了Andromeda。Andromeda是一個模塊化的僵尸網絡,最原始的文件僅包含一個加載器。運行期間,會從C&C服務器下載各類模塊,同時也具有反虛擬機和反調試的功能。

更新時間:

20230404

 

事件名稱:

HTTP_漏洞利用_命令執行_宏電H8922[CVE-2021-28150][CNNVD-202105-280]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用目的IP主機宏電H8922路由器的tools.cgi里的漏洞進行遠程命令執行攻擊。H8922是深圳市宏電技術股份有限公司的一款工業路由器,利2G/3G/4G無線網絡為用戶提供無線長距離數據傳輸功能,主要應用于金融、交通、電力、環保、工業自動化、商業連鎖等行業。HongdianH89223.0.5里的tools.cgi存在安全漏洞,該漏洞允許非特權用戶通過默認用戶進入后臺執行任意系統命令。

更新時間:

20230404

上一篇 下一篇