每周升级公告-2022-07-05
发布时间 2022-07-05新增事件
事件名称: | HTTP_安全漏洞_fastjson_1.2.60_反序列化远程代码执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用fastjsonJSON反序列化远程代码执行漏洞对目的主机进行攻击的行为,试图通过传入精心构造的恶意代码或命令来入侵目的IP主机。FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围很广。攻击成功,可远程执行任意代码。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_fastjson_1.2.67_反序列化远程代码执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | Fastjson是一个Java库,可以将Java对象转换为JSON格式,fastjson存在远程代码执行高危安全漏洞。攻击者通过发送一个精心构造的JSON序列化恶意代码,当程序执行JSON反序列化的过程中执行恶意代码,从而导致远程代码执行。 |
更新时间: | 20220705 |
事件名称: | TCP_木马_BeamMiner_挖矿成功(BEAM) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到矿机向矿池提交挖矿结果的行为。源IP所在的主机可能被植入了BeamMiner挖矿木马。BeamMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。Beam是基于MimbleWimble协议开发的加密货币,具有强隐私性、替代性和扩展性。Beam所有交易都默认是私密的。新节点加入网络无需同步整个交易历史,可以请求同步只包含系统状态的压缩历史记录和区块头,从而实现快速同步。 |
更新时间: | 20220705 |
事件名称: | TCP_后门_Win32.WarZoneRat_连接(扫描) |
安全类型: | 安全扫描 |
事件描述: | 检测到源IP主机在对目的IP主机进行扫描。WarZoneRat是一个功能强大的远控,运行后可完全控制被植入机器。本事件报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机,目的IP是客户主机。源IP主机模仿WarZoneRat样本向目的IP主机发送上线报文,如果收到期望的返回数据,即认为目的IP主机上运行着Gh0st控制端,是WarZoneRat的C&C服务。Shodan就是通过这种扫描来获取恶意软件的C&C服务器,除Shodan外,其它一些威胁情报公司的IP主机也在进行着这种扫描。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_WordPress-3DPrint-Lite_任意文件上传 |
安全类型: | 安全漏洞 |
事件描述: | WordPress3DPrintLiteVersion1.9.1.4版本中的3dprint-lite-functions.php文件存在文件上传漏洞,攻击者通过构造请求包可以上传任意文件获取服务器权限。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_Webmin_远程命令执行漏洞[CVE-2019-12840][CNNVD-201906-632] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用Webmin1.910和更早版本中的update.cgi允许远程经过身份验证的用户执行任意命令。Webmin是功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。 |
更新时间: | 20220705 |
事件名称: | TCP_Java反序列化_CommonsCollections11_利用链攻击 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用CommonsCollections11的Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了CommonsCollections3.1-3.2.1,攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20220705 |
事件名称: | TCP_可疑行为_URLClassLoader远程加载恶意类 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用URLClassLoader的Java远程加载恶意类对目的主机进行攻击的行为。攻击者可以发送精心构造的Javapayload,远程加载恶意类执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20220705 |
事件名称: | TCP_可疑行为_JNDI远程加载恶意类 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用JNDI的lookup方法远程加载恶意类对目的主机进行攻击的行为。攻击者可以发送精心构造的Javapayload,远程加载恶意类执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20220705 |
事件名称: | TCP_可疑行为_Shiro_JNDI远程加载恶意类 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用ShiroJNDI的lookup方法远程加载恶意类对目的主机进行攻击的行为。攻击者可以发送精心构造的Javapayload,远程加载恶意类执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_万户OA_fileUpload.controller_任意文件上传漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 万户OA存在一个任意文件上传漏洞,攻击者可以通过fileUpload.controller接口上传恶意文件。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_通达OA_update.php_文件包含漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 通达OAv11.8以下的版本存在一个文件包含漏洞。攻击者可以通过利用PHP的.user.ini文件来包含其他恶意文件绕过通达OA的文件上传限制。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_Jackson_反序列化_代码执行[CVE-2020-14060][CNNVD-202006-997] |
安全类型: | 安全漏洞 |
事件描述: | FasterXMLjackson-databind2.x,2.9.10.5版本之前的oadd.org.apache.xalan.lib.sql.JNDIConnectionPool错误地处理了与oadd相关的序列化gadgets和输入之间的交互 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_Jackson_反序列化_代码执行[CVE-2020-14062][CNNVD-202006-996] |
安全类型: | 安全漏洞 |
事件描述: | FasterXMLjackson-databind2.x,2.9.10.5版本之前的com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool错误地处理了与oadd相关的序列化gadgets和输入之间的交互 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_Jackson_反序列化_代码执行[CVE-2020-14195][CNNVD-202006-1070] |
安全类型: | 安全漏洞 |
事件描述: | FasterXMLjackson-databind2.x,2.9.10.5版本之前的org.jsecurity.realm.jndi.JndiRealmFactory错误地处理了与oadd相关的序列化gadgets和输入之间的交互 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_Jackson_反序列化_代码执行[CVE-2020-24750][CNNVD-202009-1066] |
安全类型: | 安全漏洞 |
事件描述: | FasterXMLjackson-databind2.x,2.9.10.5版本之前的com.pastdev.httpcomponents.configuration.JndiConfiguration错误地处理了与oadd相关的序列化gadgets和输入之间的交互 |
更新时间: | 20220705 |
事件名称: | HTTP_安全事件_GitLab_远程命令执行[CVE-2018-19571][CVE-2018-19585] |
安全类型: | 安全漏洞 |
事件描述: | GitLab是一个用于仓库管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。在11.4.7版本之前,该项目存在远程代码执行漏洞,攻击者可构造恶意payload以获取服务器权限。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_Mitel_MiVoice_Connect_远程代码执行[CVE-2022-29499][CNNVD-202204-4387] |
安全类型: | 安全漏洞 |
事件描述: | 检测到目的ip为攻击者ip,通过源ip存在数据验证不正确的漏洞,可以通过vtest.php的get_url参数进行本地文件利用,从而使得源ip向目的ip(攻击者)发送敏感信息,或反弹shell,导致进一步攻击。MitelMiVoiceConnect是加拿大MitelNetworks公司的一款用于集中管理MitelNetworks的呼叫处理和协作工具的软件。 |
更新时间: | 20220705 |
事件名称: | HTTP_小鱼易连视频系统_LUA脚本配置错误_远程命令执行 |
安全类型: | 安全漏洞 |
事件描述: | 小鱼易连视频会议系统LUA脚本权限分配不当,导致任意用户可利用root权限执行命令,攻击者利用此漏洞可完全获取系统权限。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_中远麒麟_iAudit堡垒机_get_luser_by_sshport.php_远程命令执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 中远麒麟iAudit堡垒机get_luser_by_sshport.php文件存在命令拼接,攻击者通过漏洞可获取服务器权限。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_天融信_TopApp-LB_enable_tool_debug.php_远程命令执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 天融信TopSec-LBenable_tool_debug.php文件存在远程命令执行漏洞,通过命令拼接攻击者可以执行任意命令。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_深信服应用交付管理系统_sys_user.conf_账号密码泄漏 |
安全类型: | CGI攻击 |
事件描述: | 深信服应用交付管理系统文件sys_user.conf可在未授权的情况下直接访问,导致账号密码泄漏。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_深信服应用交付报表系统_download.php_任意文件读取漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 深信服应用交付报表系统download.php文件存在任意文件读取漏洞,攻击者通过漏洞可以下载服务器任意文件。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_深信服应用交付报表系统_login.php_命令注入漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 深信服应用交付报表系统(4.5以下版本)存在一个命令注入漏洞,该漏洞源于对传入的userPsw和userID过滤不严谨导致,允许远程攻击者使用特制请求执行任意命令。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_绿盟UTS综合威胁探针_信息泄露 |
安全类型: | CGI攻击 |
事件描述: | 绿盟UTS综合威胁探针某个接口未做授权导致未授权访问,其中包含部分账号密码信息,攻击者可利用来进行登录绕过。 |
更新时间: | 20220705 |
事件名称: | DNS_可疑行为_GotoHTTP远程连接工具使用 |
安全类型: | 可疑行为 |
事件描述: | Gotohttp是一款远程桌面工具,可能为黑客正在使用。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_Microsoft_Exchange_Server_远程代码执行漏洞[CVE-2020-16875][CNNVD-202009-374] |
安全类型: | 安全漏洞 |
事件描述: | 由于对cmdlet参数的验证不正确,MicrosoftExchange服务器中存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。利用此漏洞需要已通过身份验证的用户具有受到威胁的特定Exchange角色。此安全更新通过更正MicrosoftExchange处理cmdlet参数的方式来修复此漏洞。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_CMS-Discuz:X_uc_center后台代码执行 |
安全类型: | 安全漏洞 |
事件描述: | Discuz!ML系统中,通过后台修改Ucenter数据库连接信息,可将恶意代码写入config/config_ucenter.php文件中,导致代码执行。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_Jackson_反序列化_代码执行[CVE-2019-14540][CNNVD-201909-716] |
安全类型: | 安全漏洞 |
事件描述: | Jackson是当前用的比较广泛的,用来序列化和反序列化json的Java开源框架。在2.9.10之前的FasterXMLjackson-databind中由于com.zaxxer.hikari.HikariConfig处理数据问题,存在反序列化漏洞 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_CMS_Discuz!X3.4_任意文件删除配合install过程getshell |
安全类型: | 安全漏洞 |
事件描述: | Discuz!ML系统安装后未登陆后台时,可利用文件删除漏洞删掉install.lock文件,绕过对安装完成的判断能够再进行安装的过程,然后将恶意代码写入配置文件中从而执行任意代码。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_Eyoucms_1.4.3_任意文件写入 |
安全类型: | 安全漏洞 |
事件描述: | EyouCms是基于TP5.0框架为核心开发的免费+开源的企业内容管理系统,专注企业建站用户需求提供海量各行业模板。在1.4.3版本以前,该系统中存在任意文件写入漏洞,攻击者可构造恶意payload进行文件写入操作。 |
更新时间: | 20220705 |
事件名称: | HTTP_木马后门_Covenant_心跳包_连接C2服务器 |
安全类型: | 木马后门 |
事件描述: | Covenant是一个.NET开发的C2(commandandcontrol)框架,使用.NETCore的开发环境,不仅支持Linux,MacOS和Windows,还支持docker容器。Covenant支持动态编译,能够将输入的C#代码上传至C2Server,获得编译后的文件并使用Assembly.Load()从内存进行加载。该事件表明,Covenant的生成物Grunts正在利用心跳报文与C2服务器保持连接。 |
更新时间: | 20220705 |
修改事件
事件名称: | HTTP_安全漏洞_fastjson_1.2.47_反序列化远程代码执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | Fastjson是一个Java库,可以将Java对象转换为JSON格式,fastjson在1.2.47以及之前版本存在远程代码执行高危安全漏洞。攻击者通过发送一个精心构造的JSON序列化恶意代码,当程序执行JSON反序列化的过程中执行恶意代码,从而导致远程代码执行。 |
更新时间: | 20220705 |
事件名称: | HTTP_可疑行为_fastjson_反序列化加载BCEL |
安全类型: | 安全漏洞 |
事件描述: | Fastjson是一个Java库,可以将Java对象转换为JSON格式,fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞。攻击者通过发送一个精心构造的JSON序列化恶意代码,当程序执行JSON反序列化的过程中执行恶意代码,从而导致远程代码执行。 |
更新时间: | 20220705 |
事件名称: | TCP_后门_Linux.DDoS.Gafgyt_控制命令 |
安全类型: | 其他事件 |
事件描述: | 检测到Gafgyt服务器试图发送命令给Gafgyt,目的IP主机被植入了Gafgyt。DDoS.Gafgyt是一个类Linux平台下的僵尸网络,主要功能是对指定目标机器发起DDoS攻击。对指定目标主机发起DDoS攻击。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_fastjson_1.2.45_反序列化远程代码执行漏洞[CVE-2017-18349] |
安全类型: | 安全漏洞 |
事件描述: | Fastjson是一个Java库,可以将Java对象转换为JSON格式,fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞。攻击者通过发送一个精心构造的JSON序列化恶意代码,当程序执行JSON反序列化的过程中执行恶意代码,从而导致远程代码执行。 |
更新时间: | 20220705 |
事件名称: | HTTP_安全漏洞_fastjson_1.2.62_反序列化远程代码执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用fastjsonJSON反序列化远程代码执行漏洞对目的IP主机进行攻击的行为,试图通过传入精心构造的恶意代码或命令来入侵目的IP主机。FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围很广。攻击成功,可远程执行任意代码。 |
更新时间: | 20220705 |
事件名称: | HTTP_通用_目录穿越漏洞[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在尝试对目的IP主机进行目录穿越漏洞攻击尝试的行为。目录穿越漏洞能使攻击者绕过Web服务器的访问限制,对web根目录以外的文件夹,任意地读取甚至写入文件数据。此规则是一条通用规则,其他漏洞(甚至一些0day漏洞)攻击的payload也有可能触发此事件报警。由于正常业务中一般不会产生此事件特征的流量,所以需要重点关注。允许远程攻击者访问敏感文件。 |
更新时间: | 20220705 |
事件名称: | HTTP_通达OA_任意文件上传/文件包含漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 通达OA是一套办公系统。由于通达OA中存在的两枚漏洞(文件上传漏洞,文件包含漏洞),攻击者可通过这两枚漏洞实现远程命令执行。/ispirit/im/upload.php存在绕过登录(任意文件上传漏洞),结合gateway.php处存在的文件包含漏洞,最终导致getshell。 |
更新时间: | 20220705 |
事件名称: | HTTP_可疑行为_Fastjson_dnslog探测 |
安全类型: | 安全审计 |
事件描述: | 检测到源ip正在利用dnslog探测主机后端是否是fastjson; |
更新时间: | 20220705 |
事件名称: | HTTP_可疑行为_Fastjson漏洞_编码利用 |
安全类型: | 可疑行为 |
事件描述: | FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用范围很广。攻击成功,可远程执行任意代码。fastjson可接受并解析hex编码内容,因此攻击者可利用hex编码绕过检测设备。 |
更新时间: | 20220705 |
事件名称: | TCP_僵尸网络_BlackMoon_连接 |
安全类型: | 其他事件 |
事件描述: | 检测到BlackMoon远控试图连接远程服务器,源IP所在的主机可能被植入了僵尸网络BlackMoon。BlackMoon主要功能是对指定目标发起DDoS攻击,通过关联分析发现,该BlackMoon僵尸网络传播方式之一是借助独狼(Rovnix)僵尸网络进行传播。独狼僵尸网络通过带毒激活工具(暴风激活、小马激活、KMS等)进行传播,常被用来推广病毒和流氓软件。 |
更新时间: | 20220705 |
京公网安备11010802024551号