每周升级公告-2022-01-18

发布时间 2022-01-18

新增事件


事件名称:

TCP_可疑行为_Apache_Log4j_嵌套使用内置lookup格式字符串

安全类型:

安全漏洞

事件描述:

ApacheLog4j是一个用于Java的日志记录库,其支持启动远程日志服务器。此事件代表发现了源IP主机发送了满足内置lookup格式的字符串,当目的IP主机后端接收到此格式的字符串时,会自动调用lookup功能。此事件检测的是“嵌套”使用lookup记号的行为,此行为具有一定风险,可能会被攻击者滥用,如绕过WAF检测,并进行非预期的jndi调用。

更新时间:

20220118


 

事件名称:

HTTP_安全漏洞_DedeCMSV6.0.3_article_string_mix.php_远程代码执行漏洞

安全类型:

安全漏洞

事件描述:

DedeCMSV6系统基于PHP7.X开发,具有很强的可扩展性,并且完全开放源代码。其后台article_string_mix.php文件存在远程代码执行漏洞,攻击者可利用此漏洞拿到目标主机权限。

更新时间:

20220118

 

事件名称:

HTTP_安全漏洞_蓝凌OA_admin.do_JNDI远程命令执行

安全类型:

安全漏洞

事件描述:

深圳市蓝凌软件股份有限公司数字OA(EKP)存在任意文件读取漏洞。攻击者可利用漏洞获取敏感信息,读取配置文件得到密钥后访问admin.do即可利用JNDI远程命令执行获取权限。

更新时间:

20220118


 

事件名称:

TCP_木马后门_Pupy_连接C2服务器

安全类型:

木马后门

事件描述:

检测到由黑客工具Pupy生成的http远控后门试图连接远程服务器,源IP所在的主机可能被植入了Pupy远控后门。执行后,攻击者可完全控制被植入机器,并进行横向移动。Pupy是一个python编写的跨平台、多功能远控后门和后渗透工具。它具有all-in-memory执行功能,占用空间非常小。Pupy可以使用多种方式进行通信,使用反射注入迁移到进程中,并从内存加载远程python代码、python包和pythonC-extensions。

更新时间:

20220118


 

事件名称:

HTTP_安全漏洞_Zhone-Technologies-zNID-GPON-2426A_命令执行[CVE-2014-9118][CNNVD-201510-721]

安全类型:

安全漏洞

事件描述:

ZhoneTechnologieszNIDGPON2426A是美国ZhoneTechnologies公司的一款路由器。webadministrativeportal是其中的一个Web管理员控制台程序。ZhoneTechnologieszNIDGPON2426AS3.0.501之前版本的Web管理员控制台中存在安全漏洞。远程攻击者可通过向zhnping.cmd文件发送带有shell元字符的‘ipAddr’参数利用该漏洞执行任意命令。

更新时间:

20220118