首頁 > 技術支持 > 升級公告 > 每周升級公告

每周升級公告-2023-05-02

發布時間 2023-05-02

新增事件

 

事件名稱:

HTTP_提權攻擊_Linux可疑命令執行攻擊

安全類型:

安全漏洞

事件描述:

命令注入攻擊,是指這樣一種攻擊手段,黑客通過把系統命令加入到web請求頁面頭部信息中,一個惡意黑客以利用這種攻擊方法來非法獲取數據或者網絡、系統資源。null

更新時間:

20230502

 

事件名稱:

ICMP_橫向移動_內網信息收集_Fscan_1.8.2_ICMP掃描

安全類型:

安全掃描

事件描述:

Fscan是一款使用go語言實現的掃描工具,其擁有探測主機存活、收集信息、掃描漏洞、爆破密碼、漏洞利用等多種功能,攻擊者可以利用該工具對域內資產情況做初步的篩選和梳理,該事件主要檢測1.8.2版本中Fscan工具的icmp掃描模式。

更新時間:

20230502

 

事件名稱:

DNS_命令控制_遠控后門_Raccoon.Stealer_解析C2域名請求

安全類型:

木馬后門

事件描述:

檢測到Raccoon.Stealer木馬嘗試解析C2域名。源IP所在的主機可能被植入了Raccoon.Stealer。

Raccoon也被稱為 Mohazo或Racealer,是一個功能強大的竊密木馬。它可以竊取主流瀏覽器、Cryptocurrency Wallets、Emails等客戶端保存的賬號密碼。

更新時間:

20230502

 

事件名稱:

DNS_命令控制_遠控后門_Necurs_C2域名解析請求

安全類型:

木馬后門

事件描述:

檢測到Necurs 木馬嘗試解析C2域名。Necurs 僵尸網絡于 2012 年首次被發現,它由幾百萬臺受感染的設備組成,一直致力于分發銀行惡意軟件、加密劫持惡意軟件、勒索軟件以及每次運行時發送給數百萬收件人的各種電子郵件進行詐騙。

更新時間:

20230502

 

事件名稱:

HTTP_其它注入_Apache-solr_服務器請求偽造漏洞[CVE-2017-3164][CNNVD-201902-575]

安全類型:

注入攻擊

事件描述:

檢測到源IP主機正在利用ApacheSolr服務器請求偽造漏洞對目的主機進行攻擊的行為。

Apache Solr在 1.3-7.6 版本中的ReplicationHandler類對輸入數據數據處理不當,存在服務器請求偽造漏洞。構造惡意請求,可以探測服務器資源,進而攻擊服務器內網。

更新時間:

20230502

 

事件名稱:

HTTP_漏洞利用_Apache-Solr_信息泄露[CVE-2021-44548]

安全類型:

CGI攻擊

事件描述:

檢測到源IP主機正在利用Apache Solr 信息泄露漏洞對目的主機進行攻擊的行為。

ApacheSolr是一個開源的搜索服務,使用Java編寫、運行在Servlet容器的一個獨立的全文搜索服務器,是ApacheLucene項目的開源企業搜索平臺。該漏洞影響了8.11.1之前的所有Apache Solr版本(僅影響Windows平臺)。Apache Solr的DataImportHandler中存在一個不正確的輸入驗證漏洞,可利用Windows UNC路徑從Solr主機調用網絡上的另一臺主機的SMB服務,或導致SMB攻擊,從而造成敏感數據泄露。

更新時間:

20230502

 

事件名稱:

TCP_木馬后門_Gh0st.SQ_連接C2服務器

安全類型:

木馬后門

事件描述:

檢測到遠控后門試圖連接遠程服務器。源IP所在的主機可能被植入了遠控后門Gh0st.SQ。Gh0st.SQ是一款基于Gh0st源碼魔改的遠控后門,運行后可以完全控制被植入機器。通過供應鏈攻擊的形式進行傳播,攻擊者偽造高仿的軟件下載頁面,并在各大搜索引擎投放廣告,引導用戶下載安裝捆綁遠程控制木馬的惡意安裝包。

更新時間:

20230502

 

修改事件

 

事件名稱:

HTTP_僵尸網絡_Andromeda_連接

安全類型:

木馬后門

事件描述:

檢測到僵尸網絡Andromeda試圖連接遠程服務器,源IP所在的主機可能被植入了Andromeda。Andromeda是一個模塊化的僵尸網絡,最原始的文件僅包含一個加載器。運行期間,會從C&C服務器下載各類模塊,同時也具有反虛擬機和反調試的功能。

更新時間:

20230502

 

事件名稱:

HTTP_漏洞利用_命令執行_Apache_Solr_RunExecutableListener[CVE-2017-12629][CNNVD-201710-501]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用ApacheSolrsolr遠程命令執行漏洞對目的主機進行攻擊的行為。ApacheSolr是Apache開發的一個開源的基于Lucene的全文搜索服務器。其集合的配置方法(config路徑)可以增加和修改監聽器,通過RunExecutableListener執行任意系統命令。

更新時間:

20230502

 

事件名稱:

HTTP_Apache_Solr遠程反序列化代碼執行漏洞[CVE-2019-0192][CNNVD-201903-229]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Apache Solr遠程反序列化代碼執行漏洞對目的主機進行攻擊的行為。

Apache Solr是一個開源的搜索服務器。Solr使用Java語言開發,主要基于HTTP和 Apache Lucene實現。Apache Solr solr.RunExecutableListener類存在遠程代碼執行漏洞,攻擊者向網站發送精心構造的攻擊payload,攻擊成功可以遠程執行任意命令,進而控制服務器。

通過調用Config API修改jmx.serviceUrl屬性指向惡意的RMI服務,導致Apache Solr出現遠程反序列化代碼執行的安全漏洞。

嘗試進行任意文件讀取,竊取敏感信息。

更新時間:

20230502


事件名稱:

HTTP_提權攻擊_Apache_Solr_Velocity_遠程代碼執行[CVE-2020-13957]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用Apache_Solr_Velocity遠程代碼執行漏洞攻擊目的IP主機的行為攻擊成功,可遠程執行任意代碼。

更新時間:

20230502

 

事件名稱:

HTTP_提權攻擊_Apache_Solr_遠程代碼執行漏洞[CVE-2019-17558][CNNVD-201912-1225]

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正在利用ApacheSolrVelocityResponseWriter遠程代碼執行漏洞對目的主機進行攻擊的行為。ApacheSolr是美國阿帕奇(Apache)軟件基金會的一款基于Lucene(一款全文搜索引擎)的搜索服務器。該產品支持層面搜索、垂直搜索、高亮顯示搜索結果等。ApacheSolr5.0.0版本至8.3.1版本中存在輸入驗證錯誤漏洞。該漏洞源于網絡系統或產品未對輸入的數據進行正確的驗證。攻擊者向網站發送精心構造的攻擊payload,攻擊成功可以遠程執行任意命令,進而控制服務器。嘗試進行任意文件讀取,竊取敏感信息。

更新時間:

20230502

 

事件名稱:

HTTP_安全漏洞_ToTolink_N600R路由器_Exportovpn_未授權命令注入

安全類型:

安全漏洞

事件描述:

檢測到源IP主機正試圖通過ToTolinkN600R路由器Exportovpn命令注入漏洞攻擊目的IP主機。在ToTolinkN600R路由器的cstecgi.cgi文件中,exportovpn接口存在命令注入,攻擊者可借此未驗證遠程執行惡意命令。

更新時間:

20230502

 

事件名稱:

HTTP_Apache_Solr_SSRF漏洞[CVE-2021-27905]

安全類型:

注入攻擊

事件描述:

ApacheSolr是一個開源的搜索服務,使用Java編寫、運行在Servlet容器的一個獨立的全文搜索服務器,是ApacheLucene項目的開源企業搜索平臺。該漏洞是由于沒有對輸入的內容進行校驗,攻擊者可利用該漏洞在未授權的情況下,構造惡意數據執行SSRF攻擊,最終造成任意讀取服務器上的文件。

更新時間:

20230502


事件名稱:

HTTP_提權攻擊_Spring_Boot_Actuator_mysqljdbc_遠程代碼執行

安全類型:

安全漏洞

事件描述:

檢測到源ip正在利用Actuator的/env接口設置屬性將spring.datasource.url設置為外部惡意mysqljdbcurl地址。SpringBootActuator是一款可以幫助你監控系統數據的框架,其可以監控很多很多的系統數據,它有對應用系統的自省和監控的集成功能,可以查看應用配置的詳細信息。

更新時間:

20230502

 

事件名稱:

HTTP_提權攻擊_PHP_imap_命令執行[CVE-2018-19518][CNNVD-201811-666]

安全類型:

安全漏洞

事件描述:

PHP和其他產品的imap_open()中使用的UNIX上的華盛頓大學IMAP工具包2007f啟動rsh命令(借助于c-client/imap4r1.c中的imap_rimap函數和osdep/unix/tcp_unix中的tcp_aopen函數.c),而不會阻止參數注入,如果IMAP服務器名稱是不受信任的輸入(例如,由Web應用程序的用戶輸入),并且rsh已被具有不同參數的程序替換,則遠程攻擊者可能會執行任意OS命令語義。例如,如果rsh是ssh的鏈接(如在Debian和Ubuntu系統上看到的),則攻擊可以使用包含“-oProxyCommand”參數的IMAP服務器名稱。

更新時間:

20230502

 

事件名稱:

TCP_提權攻擊_Flask內存馬注入_代碼執行

安全類型:

安全漏洞

事件描述:

檢測到目前目的主機上的Flask服務在開放了添加路由功能的情況下,受到注入代碼執行攻擊。Flask是一個使用Python編寫的輕量級Web應用框架。其WSGI工具箱采用Werkzeug,模板引擎則使用Jinja2。

更新時間:

20230502

上一篇 下一篇