每周升级公告-2022-03-01

发布时间 2022-03-01

新增事件

 

事件名称:

UDP_安全漏洞_Realtek_sdk_udp服务远程命令执行[CVE-2021-35394]

安全类型:

安全漏洞

事件描述:

检测到源IP设备正在利用RealtekSdk使用udp服务构造恶意命令攻击目的IP设备。台湾芯片设计商Realtek警告其WiFi模块附带的三个软件开发工具包(SDK)中存在四个安全漏洞,这些软件开发工具包用于至少65家供应商生产的近200款物联网设备。RealtekJungleSDK版本v2.x至v3.4.14B提供了一个HTTPWeb服务器,公开了一个管理接口,可用于配置接入点。这个管理界面有两个版本:一个基于名为webs的Go-Ahead,另一个基于名为boa的Boa。它们都受到这些漏洞的影响。

更新时间:

20220301

 

事件名称:

TCP_审计事件_JAVA_RMI请求调用

安全类型:

安全审计

事件描述:

检测到源IP主机对目的主机进行RMI请求。RMI即远程方法调用(RemoteMethodInvocation),一种用于实现远程过程调用的JavaAPI。若源IP主机存在JAVA反序列化漏洞,攻击者可利用JNDI来调用RMI,可能存在远程访问恶意对象的风险。

更新时间:

20220301

 

事件名称:

HTTP_安全漏洞_QNAP_RoonServer_命令注入[CVE-2021-28811]

安全类型:

安全漏洞

事件描述:

威联通科技,简称威联通,英语译名暨品牌名称为QNAP,是总部位于中国台湾的科技公司。其产品包括网络附加存储设备、视频监控录像设备、网络交换机、无线路由器、无线/有线网卡和视频会议设备等。威联通(QNAP)产品的RoonServer应用中,存在权限认证漏洞与命令注入漏洞,攻击者可以将这2个漏洞组合起来使用,以达到未授权远程执行任意命令的目的。

更新时间:

20220301

 

事件名称:

HTTP_后门_BADNEWS_PatchWorkAPT_连接

安全类型:

其他事件

事件描述:

检测到patchwork后门BADNEWS木马试图连接远程服务器。源IP所在的主机可能被植入了BADNEWS木马。BADNEWS木马是一个功能非常强大的后门,运行后,可以完全控制被植入机器。允许攻击者完全控制被植入机器。

更新时间:

20220301

 

事件名称:

HTTP_安全漏洞_Gerapy_clone_远程命令执行漏洞[CVE-2021-32849][CNNVD-202201-2495]

安全类型:

安全漏洞

事件描述:

Gerapy是一款基于Scrapy、Scrapyd、Django和Vue.js的分布式爬虫管理框架。Gerapy0.9.6和之前的版本中存在注入漏洞,该漏洞源于程序没有正确清理通过project_clone端点传递给Popen的输入,导致攻击者可利用该漏洞远程执行任意命令。

更新时间:

20220301

 

事件名称:

TCP_木马后门_HigaisaRat(黑格莎)_连接

安全类型:

木马后门

事件描述:

检测到HigaisaRat试图连接远程服务器,源IP所在的主机可能被植入了远控HigaisaRat。HigaisaRat是一个基于gh0st开源远控框架修改而来远程控制木马,允许攻击者控制被植入机器。攻击者可远程控制被控端主机做各种操作。

更新时间:

20220301

 

修改事件

 

事件名称:

HTTP_通达OA_任意文件上传/文件包含漏洞

安全类型:

安全漏洞

事件描述:

通达OA是一套办公系统。由于通达OA中存在的两枚漏洞(文件上传漏洞,文件包含漏洞),攻击者可通过这两枚漏洞实现远程命令执行。/ispirit/im/upload.php存在绕过登录(任意文件上传漏洞),结合gateway.php处存在的文件包含漏洞,最终导致getshell。

更新时间:

20220301

 

事件名称:

HTTP_安全漏洞_Apache_APISIX_batch-requests_远程代码执行

安全类型:

安全漏洞

事件描述:

检测到源ip正在利用ApacheAPISIX的batch-requests插件调用API并执行恶意代码。ApacheAPISIX是一个动态、实时、高性能的API网关。APISIX提供了丰富的流量管理特性,例如负载均衡、动态上游、金丝雀发布、熔断、认证、可观察性等。

更新时间:

20220301