每周升级公告-2022-06-07

发布时间 2022-06-07

新增事件

 

事件名称:

HTTP_apache-solr_远程代码执行漏洞

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用HTTP_apache-solr_远程代码执行漏洞攻击目的IP主机的行为。2019年11月16日,Apache官方发布ApacheSolr远程代码执行漏洞安全通告,此漏洞存在于可选模块DataImportHandler中,DataImportHandler是用于从数据库或其他源提取数据的常用模块,该模块中所有DIH配置都可以通过外部请求的dataConfig参数来设置,由于DIH配置可以包含脚本,因此该参数存在安全隐患。攻击者可利用dataConfig参数构造恶意请求,实现远程代码执行,请相关用户尽快升级Solr至安全版本,以确保对此漏洞的有效防护。攻击成功,可远程执行任意代码。

更新时间:

20220607

 

事件名称:

HTTP_审计事件_ApacheCouchDB_banner发现

安全类型:

CGI攻击

事件描述:

ApacheCouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。CouchDB将数据存储为非关系性的JSON文档。这使得CouchDB的用户可以以与现实世界相似的方式来存储数据。攻击者通过默认端口4396的banner信息可以确定目标系统。通过4396端口亦可实施CVE-2022-24706攻击。

更新时间:

20220607

 

事件名称:

HTTP_安全漏洞_Spring-Security-RegexRequestMatcher_认证绕过

安全类型:

安全漏洞

事件描述:

SpringSecurity中使用RegexRequestMatcher进行权限配置,且规则中使用带点号(.)的正则表达式时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。

更新时间:

20220607

 

事件名称:

HTTP_安全漏洞_Jenkins_远程命令执行[CVE-2016-0792][CNNVD-201602-484]

安全类型:

安全漏洞

事件描述:

Jenkins1.650之前版本和LTS1.642.2之前版本中有多个未指定的API端点,远程身份验证用户可以通过XML文件中与XStream和groovy相关的序列化数据执行任意代码.

更新时间:

20220607

 

事件名称:

DNS_木马_Kworkers_AutoUpdate_HolesWarm挖矿木马_尝试连接矿池(XMR)

安全类型:

蠕虫病毒

事件描述:

检测到挖矿木马Kworkers尝试连接矿池。源IP所在的主机可能被植入了Kworkers挖矿木马。Kworkers是一款双平台挖矿木马,又名AutoUpdate或HolesWarm,挖矿程序会占用CPU资源,可能导致受害主机变慢。

更新时间:

20220607

 

 

修改事件

 

 

事件名称:

DNS_挖矿蠕虫_WannaMine_连接DNS服务器通信

安全类型:

蠕虫病毒

事件描述:

检测到挖矿蠕虫WannaMine连接DNS服务器通信。Wannamine是利用与NSA相关的EternalBlue(永恒之蓝)漏洞进行传播的加密挖矿蠕虫。据研究人员测试,WannaMine能够感染从Windows2000起的所有Windows系统(包括64位版本和WindowsServer2003),并使其设备性能明显下降。

更新时间:

20220607

 

事件名称:

HTTP_通用_尝试利用任意文件读取漏洞

安全类型:

可疑行为

事件描述:

由于一些网站的业务需要,往往需要提供文件读取或下载的一个模块,但如果没有对读取或下载做一个白名单或者权限限制,可能导致恶意攻击者读取下载一些敏感信息(etc/passwd等),对服务器做下一步的进攻与威胁。此事件可以通用性地检测尝试利用任意文件读取漏洞的行为。

更新时间:

20220607