首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2023-04-25

發布時間 2023-04-25

新增事件


事件名稱:

HTTP_反序列化_Spring_Boot_Actuator_Snakeyaml_遠程代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用Actuator的/env接口設置屬性將spring.cloud.bootstrap.location設置為惡意yaml文件URL地址。
SpringBootActuator是一款可以幫助你監控系統數據的框架,其可以監控很多很多的系統數據,它有對應用系統的自省和監控的集成功能,可以查看應用配置的詳細信息。通過設置SpringBootActuator的spring.cloud.bootstrap.location屬性,可導致觸發sankeyaml反序列化漏洞,從而造成惡意代碼執行。

更新時間:

20230425


事件名稱:

HTTP_漏洞利用_Spring_Boot_logging.config_logback_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用Actuator的/env接口設置屬性將logging.config設置為惡意xml文件地址。
SpringBootActuator是一款可以幫助你監控系統數據的框架,其可以監控很多很多的系統數據,它有對應用系統的自省和監控的集成功能,可以查看應用配置的詳細信息。在SpringBootActuator中可以通過logging.config屬性設置logback日志配置文件URL地址,如果url地址為xml格式文件,可以通過解析xml文件利用logback依賴的insertFormJNDI標簽造成JNDI注入。

更新時間:

20230425


事件名稱:

HTTP_漏洞利用_文件包含_spring-boot-actuator-logview[CVE-2021-21234][CNNVD-202101-261]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用spring-boot-actuator-logview文件包含漏洞攻擊目的IP主機的行為。spring-boot-actuator-logview是一個簡單的日志文件查看器作為SpringBoot執行器端點,在0.2.12及之前版本中存在著文件包含漏洞,編號CVE-2021-21234。漏洞本質是SpringBoot執行器通過請求的參數來指定文件名和文件夾路徑,經過組合拼接達到目錄遍歷,雖然源碼中檢查了文件名(filename)參數來防止目錄遍歷,但是沒有檢查文件夾(base)參數,造成了攻擊者可以進行目錄遍歷。

更新時間:

20230425


事件名稱:

DNS_木馬后門_AgentTesla_C2域名解析請求

安全類型:

木馬后門

事件描述:

檢測到試圖請求解析AgentTesla的C2域名。源IP所在的主機可能被植入了AgentTesla Keylogger。
AgentTesla Keylogger是一個功能強大的竊密木馬,2014年,首次出現在一個土耳其語網站上。如今,Agent Tesla 歷經多次代碼改進,功能不斷增強,已經成為能夠盜取瀏覽器、FTP、VPN、郵箱和 WIFI 等多種敏感信息的專業竊密軟件。

更新時間:

20230425


事件名稱:

HTTP_提權攻擊_CommonsConfiguration_SnakeYAML反序列化利用鏈_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用目的主機snakeyaml CommonsConfiguration jndi注入漏洞。
SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式數據的類庫,它提供了dump方法可以將一個Java對象轉為Yaml格式字符串。通過構造惡意yaml格式數據,可以造成jndi注入,從而控制服務器。

更新時間:

20230425


事件名稱:

DNS_命令控制_木馬后門_Sality感染型病毒_域名解析請求

安全類型:

木馬后門

事件描述:

檢測到源主機正在嘗試解析 Sality感染型病毒 的惡意域名,源主機可能已經被植入 Sality感染型病毒。Sality 能夠在Windows操作系統的計算機上進行自我復制和傳播,同時還能夠進行遠程控制和信息竊取。Sality病毒的傳播方式非常靈活,可以通過各種方式進行傳播,例如利用可移動設備、通過文件共享軟件、電子郵件等方式。

更新時間:

20230425


事件名稱:

HTTP_命令與控制_遠控后門_FiveSys_連接C2服務器

安全類型:

木馬后門

事件描述:

檢測到FiveSys木馬后門試圖連接遠程服務器。FiveSys木馬主要功能是將使用者流量導引到特定惡意代理服務器;FiveSys目的是在用戶連接線上游戲時,將用戶流量導向代理服務器時,借此攔截、竊取用戶帳密等驗證信息。

更新時間:

20230425


事件名稱:

HTTP_漏洞利用_文件下載_RuoYi后臺管理系統[CVE-2023-27025][CNNVD-202304-021]

安全類型:

安全漏洞

事件描述:

Ruoyi在v4.7.6及以下版本中存在任意文件下載漏洞,經過身份認證的攻擊者可以利用定時任務下載任意文件。如果系統未對讀取/下載文件的文件目錄做限制,攻擊者利用此漏洞可直接讀取web目錄下任意文件,比如配置文件、數據庫文件等,甚至直接獲取服務器上任意文件內容。Ruoyi后臺管理系統是基于SpringBoot的權限管理系統。

更新時間:

20230425


事件名稱:

HTTP_提權攻擊_JndiRefForwardingDataSource_SnakeYAML反序列化利用鏈_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用目的主機snakeyaml JndiRefForwardingDataSource jndi注入漏洞。
SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式數據的類庫,它提供了dump方法可以將一個Java對象轉為Yaml格式字符串。通過構造惡意yaml格式數據,可以造成jndi注入,從而控制服務器。

更新時間:

20230425


事件名稱:

HTTP_漏洞利用_Spring_Boot_spring.main.sources_groovy_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用Actuator的/env接口設置屬性將spring.main.sources設置為惡意groovy文件地址。
SpringBootActuator是一款可以幫助你監控系統數據的框架,其可以監控很多很多的系統數據,它有對應用系統的自省和監控的集成功能,可以查看應用配置的詳細信息。在SpringBootActuator中可以通過spring.main.sources屬性來設置創建ApplicationContext的額外源的URL地址,如果最后地址以groovy結尾,則最終會執行文件內容中的groovy代碼,造成代碼執行。

更新時間:

20230425


事件名稱:

HTTP_安全漏洞_Spring_Boot_Actuator_datasource_遠程代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用Actuator的/env接口設置屬性將spring.datasource.data屬性設置為惡意sql文件的URL地址。
SpringBootActuator是一款可以幫助你監控系統數據的框架,其可以監控很多很多的系統數據,它有對應用系統的自省和監控的集成功能,可以查看應用配置的詳細信息。通過設置SpringBootActuator的spring.datasource.data屬性來設置惡意sql文件的URL地址,通過執行h2的sql語句導致任意代碼執行。

更新時間:

20230425


事件名稱:

HTTP_反序列化_SnakeYaml_MarshalOutputStream_任意文件寫入

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用目的主機snakeyaml MarshalOutputStream 文件寫入漏洞。
SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式數據的類庫,它提供了dump方法可以將一個Java對象轉為Yaml格式字符串,其load方法也能夠將Yaml字符串轉為Java對象。在其使用load方法將字符串轉為MarshalOutputStream對象時,會觸發任意文件寫入漏洞,攻擊者能夠寫入惡意文件。

更新時間:

20230425


事件名稱:

HTTP_安全漏洞_用友NC_uapjs_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用用友NC6.5中jsinvoke接口存在的任意方法調用漏洞對目的主機進行攻擊的行為。
用友NC 及 NCC系統存在任意方法調用漏洞,通過uapjs (jsinvoke)利用漏洞可調用危險方法造成攻擊。用友NC以“全球化集團管控、行業化解決方案、全程化電子商務、平臺化應用集成”的管理業務理念而設計,是中國大企業集團管理信息化應用系統的首選。

更新時間:

20230425

 

事件名稱:

HTTP_漏洞利用_文件下載_通達OA_video_file.php

安全類型:

安全漏洞

事件描述:

利用MEDIA_DIR與MEDIA_NAME參數值覆蓋進行路徑穿越并采用http的響應Content-Disposition頭字段實現任意文件的下載。

更新時間:

20230425


事件名稱:

HTTP_提權攻擊_PostgreSQL-JDBC-Driver_遠程代碼執行[CVE-2022-21724]

安全類型:

安全漏洞

事件描述:

PostgreSQL數據庫的jdbc驅動程序中存在一個安全漏洞。當攻擊者控制jdbcurl或者屬性時,使用PostgreSQL數據庫的系統將受到攻擊。pgjdbc根據通過authenticationPluginClassName、sslhostnameverifier、socketFactory、sslfactory、sslpasswordcallback連接屬性提供類名實例化插件實例。但是,驅動程序在實例化類之前沒有驗證類是否實現了預期的接口。這可能導致通過任意類加載遠程代碼執行或文件寫入攻擊。影響版本:postgresql_jdbc_driver<42.2.25,42.3.0<=postgresql_jdbc_driver<=42.3.1

更新時間:

20230425


修改事件

 

事件名稱:

HTTP_提權攻擊_ScriptEngineManager_SnakeYAML反序列化利用鏈_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用SnakeYAMLScriptEngineManager反序列化利用鏈進行攻擊,從而獲取目標系統權限。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式數據的類庫,它提供了dump方法可以將一個Java對象轉為Yaml格式字符串,其load方法也能夠將Yaml字符串轉為Java對象。

更新時間:

20230425


事件名稱:

HTTP_漏洞利用_代碼執行_Spring_Boot_H2database_console

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用h2console的默認路由設置為外部惡意jndi服務器地址。H2Database是一個開源的嵌入式數據庫引擎,采用java語言編寫,不受平臺的限制,同時H2Database提供了一個十分方便的web控制臺用于操作和管理數據庫內容。H2Database還提供兼容模式,可以兼容一些主流的數據庫,因此采用H2Database作為開發期的數據庫非常方便。

更新時間:

20230425


事件名稱:

TCP_提權攻擊_Groovy1_Java反序列化利用鏈_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Groovy1的Java反序列化利用鏈對目的主機進行攻擊的行為。ApacheGroovy是一個功能強大的動態編程語言,靠著其簡潔、與Java非常相似以及易于學習的語法,基于Java平臺的Groovy關注于提高開發者的生產性。它可以和任何Java語言進行無縫集成,支持DSL,提供運行階段和編譯階段元數據編程等強大的功能。

更新時間:

20230425


事件名稱:

HTTP_漏洞利用_文件讀取_Grafana_8.3.0[CVE-2021-43798][CNNVD-202112-482]

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用Grafana8.0.0-8.3.0版本中存在的文件讀取漏洞,從而在未授權的情況下讀取目標系統敏感文件。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺。用戶配置連接的數據源之后,Grafana可以在網絡瀏覽器里顯示數據圖表和警告

更新時間:

20230425


事件名稱:

HTTP_漏洞利用_代碼執行_Spring_Boot_logging.config

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用Actuator的/evn接口通過logging.config參數嘗試遠程代碼執行。SpringBootActuator是一款可以幫助你監控系統數據的框架,其可以監控很多很多的系統數據,它有對應用系統的自省和監控的集成功能,可以查看應用配置的詳細信息。

更新時間:

20230425


上一篇 下一篇