每周升级公告-2022-06-28
发布时间 2022-06-28新增事件
事件名称: | HTTP_安全漏洞_Webmin_远程代码执行漏洞[CVE-2012-2982][CNNVD-201209-215] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用Webmin1.590和更早版本中的file/show.cgi允许远程经过身份验证的用户通过路径名中的无效字符执行任意命令。Webmin是功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。 |
更新时间: | 20220628 |
事件名称: | HTTP_代码执行_禅道_远程代码执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 2019年9月,禅道项目管理软件爆出全版本的RCE漏洞。于是便好奇漏洞的成因,在阅读作者的文章及自己复现分析后,发现漏洞其实算是一种越权调用,普通权限(用户组为1-10)的攻击者可通过module/api/control.php中getModel方法,越权调用module目录下所有的model模块和方法,从而实现SQL注入、任意文件读取、远程代码执行等攻击。 |
更新时间: | 20220628 |
事件名称: | HTTP_安全漏洞_Nagios_XI_远程代码执行漏洞[CVE-2020-5792][CNNVD-202010-1118] |
安全类型: | 安全漏洞 |
事件描述: | NagiosXI是一个建立在Nagios核心上的企业级监测和报警方案的开源组件。功能包括PHP网站界面、综合表现图、可定制的仪表板、网络结构、配置GUI(图形用户接口)、用户管理等。NagiosXI5.7.3中存在远程代码执行安全漏洞,该漏洞可以使经过身份验证的具有管理员权限的用户能够以apache用户的身份远程执行代码。 |
更新时间: | 20220628 |
事件名称: | HTTP_安全漏洞_Nagios_XI_远程代码执行漏洞[CVE-2020-28648][CNNVD-202011-1421] |
安全类型: | 安全漏洞 |
事件描述: | NagiosXI是一个建立在Nagios核心上的企业级监测和报警方案的开源组件。功能包括PHP网站界面、综合表现图、可定制的仪表板、网络结构、配置GUI(图形用户接口)、用户管理等。NagiosXI5.7.5中存在远程代码执行安全漏洞,攻击者可利用此漏洞以“apache”用户执行任意命令。 |
更新时间: | 20220628 |
事件名称: | HTTP_安全漏洞_Nagios_Fusion_远程代码执行漏洞[CVE-2020-28905] |
安全类型: | 安全漏洞 |
事件描述: | Nagios_Fusion能够为IT运营人员和管理人员提供快速、一目了然的IT基础架构中任何问题的可视化指示。NagiosFusion4.1.8及更早版本中不正确的输入验证允许经过身份验证的攻击者通过表分页执行远程代码。 |
更新时间: | 20220628 |
事件名称: | HTTP_安全漏洞_Webmin_远程命令执行漏洞[CVE-2020-35606][CNNVD-202012-1428] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用Webmin1.962和更早版本中的file/show.cgi允许远程经过身份验证的用户通过路径名中的无效字符执行任意命令。Webmin是功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。 |
更新时间: | 20220628 |
事件名称: | HTTP_安全漏洞_泛微OA_ln.FileDownload_任意文件读取漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 泛微OAV8系统存在任意文件读取漏洞,攻击者可通过ln.FileDownload接口读取任意文件从而获取敏感信息。 |
更新时间: | 20220628 |
事件名称: | HTTP_命令执行_Zabbix_命令注入漏洞[CVE-2013-3628][CNNVD-201310-745] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用Zabbix的漏洞进行恶意命令执行。Zabbix是由AlexeiVladishev开发的一种网络监视、管理系统,基于Server-Client架构。在Zabbix2.0.9及其之前版本允许管理员在主机上运行所创建的脚本,经过身份验证的攻击者可利用此漏洞在主机上允许运行恶意脚本。 |
更新时间: | 20220628 |
事件名称: | TCP_Java反序列化_CommonsCollections6Lite_利用链攻击 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用CommonsCollections6的Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了commons-CommonsCollections3.1-3.2.1,攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20220628 |
事件名称: | TCP_可疑行为_Nishang工具利用 |
安全类型: | 可疑行为 |
事件描述: | Nishang是一个框架和脚本和有效负载的集合,它支持使用PowerShell进行攻击性安全、渗透测试和红队。Nishang在渗透测试的所有阶段都很有用。通过导入powershell会话进行渗透攻击。 运维参考:1. 查看该条事件后续报警是否存在如“TCP_可疑行为_使用Powershell”、“TCP_powershell命令注入攻击”等事件,如果存在则说明该工具已被成功上传至目的ip;2. 查看该条事件前,源目的ip是否存在如“HTTP_木马_可疑PowerShell代码下载_连接”、“HTTP_可疑行为_Powershell_文件下载”、“TCP_横向移动_WMI_Win32Process_调用powershell”等事件,用于判断Nishang是否通过这些事件进行上传。 |
更新时间: | 20220628 |
事件名称: | TCP_可疑行为_使用Powershell |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip通过使用框架、脚本等交互Powershell进行攻击渗透。PowerShell的功能强大且调用方式十分灵活,且可以混淆。目前,越来越多的攻击者已经将PowerShell应用在各种攻击场景中,如内网渗透、勒索、挖矿、APT攻击等等。在和各类组件,例如cmd,rundll32配合使用后,对抗能力更加强大。 |
更新时间: | 20220628 |
事件名称: | HTTP_安全漏洞_Webmin_远程代码执行漏洞[CVE-2022-0824][CNNVD-202203-076] |
安全类型: | 拒绝服务 |
事件描述: | 检测到源ip正在利用目的ip上的Webmin(1.984及更低版本)文件管理器特权利用的漏洞,使低特权Webmin用户可以使用root特权访问文件并执行文件的对应内容。具有其他不受信任的Webmin用户的所有系统都应立即升级。请注意,由于域所有者Webmin用户的配置方式,Virtualmin系统不受此错误的影响。。Webmin是功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。 |
更新时间: | 20220628 |
事件名称: | TCP_后门_ParallaxRat_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到后门ParallaxRat试图连接远程服务器。源IP所在的主机可能被植入了ParallaxRat。ParallaxRat是一个功能强大的远控后门,曾经被印度APT组织暗象所使用。"暗象"(DarkElephantGroup)是一个疑似来自印度的APT攻击组织,其主要针对印度境内的社会活动人士、社会团体和在野政党等,同时也会窃取印度周边国家如中国和巴基斯坦等的军事政治目标的重要情报。"暗象"组织的主要攻击手段是使用谷歌/雅虎邮箱或者利用盗取的邮箱,向受害者发送极具迷惑性的鱼叉邮件,诱骗对方运行具备多种免杀技巧的成熟商用远控后门载荷。包括NetWire、DarkComet、ParallaxRat、GMBot等。
|
更新时间: | 20220628 |
事件名称: | HTTP_安全漏洞_金山终端安全系统_get_file_content.php_任意文件读取漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 金山V8终端安全系统存在任意文件读取漏洞,攻击者可以通过/receive_file/get_file_content.php的filepath参数读取任意文件。 |
更新时间: | 20220628 |
事件名称: | HTTP_TP-Link路由器_身份验证绕过漏洞[CVE-2019-7405][CNNVD-201912-1679] |
安全类型: | 安全漏洞 |
事件描述: | TP-LinkArcherC5v4等都是中国普联(TP-Link)公司的一款无线路由器,多款TP-Link产品中存在安全漏洞。尽管设备有安全验证,但因为它只检查referrer的HTTP头信息,所以攻击者可利用硬编码的tplinkwifi.net值来欺骗路由器的httpd服务,将其请求视为有效,通过发送特定HTTP请求可导致用户密码无效化,被一个空值所替换。 |
更新时间: | 20220628 |
事件名称: | HTTP_安全漏洞_Coremail_文件上传漏洞 |
安全类型: | 安全漏洞 |
事件描述: | Coremail邮件系统产品在国内已拥有10亿终端用户,是目前国内拥有邮箱使用用户最多的邮件系统。Coremail<=XT5.x版本存在任意文件上传漏洞,攻击者可以上传恶意文件,从而造成远程代码执行。
|
更新时间: | 20220628 |
事件名称: | TCP_木马_DynamoMiner_尝试连接矿池(DYNAMO) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到挖矿木马试图连接远程矿池服务器。源IP所在的主机可能被植入了DynamoMiner挖矿木马。DynamoMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。Dynamo是一个公平发行区块链,为用户带来真正的民主。为人们提供去中心化的加密货币,Dynamo提供了许多现代区块链功能,例如NFT、智能合约和分布式存储。 |
更新时间: | 20220628 |
事件名称: | TCP_木马_DynamoMiner_挖矿控制命令通信_矿池更新Extranonce(DYNAMO) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到矿池使用set_extranonce方法来更新Extranonce。源IP所在的主机可能被植入了DynamoMiner挖矿木马。DynamoMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。Dynamo是一个公平发行区块链,为用户带来真正的民主。为人们提供去中心化的加密货币,Dynamo提供了许多现代区块链功能,例如NFT、智能合约和分布式存储。 |
更新时间: | 20220628 |
事件名称: | TCP_木马_DynamoMiner_获取挖矿任务(DYNAMO) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到矿池向矿机下发挖矿任务。源IP所在的主机可能被植入了DynamoMiner挖矿木马。DynamoMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。Dynamo是一个公平发行区块链,为用户带来真正的民主。为人们提供去中心化的加密货币,Dynamo提供了许多现代区块链功能,例如NFT、智能合约和分布式存储。 |
更新时间: | 20220628 |
事件名称: | TCP_木马_DynamoMiner_挖矿成功(DYNAMO) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到挖矿木马挖矿成功的行为,即矿机向矿池提交挖矿结果。源IP所在的主机可能被植入了DynamoMiner挖矿木马。DynamoMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。Dynamo是一个公平发行区块链,为用户带来真正的民主。为人们提供去中心化的加密货币,Dynamo提供了许多现代区块链功能,例如NFT、智能合约和分布式存储。 |
更新时间: | 20220628 |
事件名称: | TCP_木马_DynamoMiner_挖矿控制命令通信_难度调整(DYNAMO) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到矿池使用set_difficulty方法进行挖矿难度调整的行为。源IP所在的主机可能被植入了DynamoMiner挖矿木马。DynamoMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。Dynamo是一个公平发行区块链,为用户带来真正的民主。为人们提供去中心化的加密货币,Dynamo提供了许多现代区块链功能,例如NFT、智能合约和分布式存储。 |
更新时间: | 20220628 |
事件名称: | TCP_木马_SeroMiner_尝试连接矿池(SERO) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到挖矿木马试图连接远程矿池服务器。源IP所在的主机可能被植入了SeroMiner挖矿木马。SeroMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。SuperZero(SERO)是一个支持图灵完备智能合约的隐私数字货币,同时也是一个允许开发者自行发布匿名数字资产的隐私保护平台,可以让去中心化应用具有隐私保护功能。 |
更新时间: | 20220628 |
修改事件
事件名称: | HTTP_可疑行为_敏感文件访问 |
安全类型: | 注入攻击 |
事件描述: | 检测到源IP主机正在探测目的ip主机中可能暴露在外的敏感文件。 |
更新时间: | 20220628 |
京公网安备11010802024551号