每周升级公告-2022-07-08
发布时间 2022-07-08新增事件
事件名称: | HTTP_安全漏洞_Confluence_任意文件读取漏洞[CVE-2019-3396][CNNVD-201903-909] |
安全类型: | 安全漏洞 |
事件描述: | Confluence是款企业知识库软件。其中ConfluenceServer和DataCenter产品中使用的小工具连接器widgetconnecter组件(版本<=3.1.3)中存在任意文件读取漏洞 |
更新时间: | 20220708 |
事件名称: | HTTP_安全漏洞_UCM6202_1.0.18.13远程命令注入漏洞[CVE-2020-5722][CNNVD-202003-1337] |
安全类型: | 安全漏洞 |
事件描述: | GrandstreamUCM6200系列的HTTP接口容易受到精心设计的HTTP请求未经身份验证的远程SQL注入的攻击。攻击者可以使用此漏洞以root身份在1.0.19.20之前的版本中执行shell命令,或在1.0.20.17之前的版本中的密码恢复电子邮件中注入HTML。 |
更新时间: | 20220708 |
事件名称: | HTTP_安全漏洞_Netgear_R7000_Router远程命令执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | NetgearR7000,固件版本1.0.7.2_1.1.93以及更早期版本,R6400固件版本1.0.1.6_1.0.4以及更早期版本,包含一个包含任意命令注入漏洞.攻击者可能诱使用户访问巧尽心思构建的web站点,从而以根用户权限在受影响的路由器上执行任意命令。 |
更新时间: | 20220708 |
事件名称: | TCP_可疑行为_shadow内容文件回显 |
安全类型: | 可疑行为 |
事件描述: | 发现有etc/shadow文件的回显页面 |
更新时间: | 20220708 |
事件名称: | HTTP_木马_MuuyDownLoader(蔓灵花)_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到木马试图连接远程服务器。源IP所在的主机可能被植入了MuuyDownLoader。MuuyDownLoader是APT组织蔓灵花所使用的一个下载者,运行后,可以下载其它恶意样本,如后门等。 |
更新时间: | 20220708 |
事件名称: | TCP_木马_BeamMiner_尝试连接矿池(BEAM) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到挖矿木马试图连接远程矿池服务器。源IP所在的主机可能被植入了BeamMiner挖矿木马。BeamMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。Beam是基于MimbleWimble协议开发的加密货币,具有强隐私性、替代性和扩展性。Beam所有交易都默认是私密的。新节点加入网络无需同步整个交易历史,可以请求同步只包含系统状态的压缩历史记录和区块头,从而实现快速同步。 |
更新时间: | 20220708 |
事件名称: | TCP_木马_BeamMiner_连接矿池成功(BEAM) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到挖矿木马连接远程矿池服务器成功的行为。源IP所在的主机可能被植入了BeamMiner挖矿木马。BeamMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。Beam是基于MimbleWimble协议开发的加密货币,具有强隐私性、替代性和扩展性。Beam所有交易都默认是私密的。新节点加入网络无需同步整个交易历史,可以请求同步只包含系统状态的压缩历史记录和区块头,从而实现快速同步。 |
更新时间: | 20220708 |
事件名称: | TCP_木马_BeamMiner_获取挖矿任务(BEAM) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到从矿池向矿机下发挖矿任务的行为。源IP所在的主机可能被植入了BeamMiner挖矿木马。BeamMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。Beam是基于MimbleWimble协议开发的加密货币,具有强隐私性、替代性和扩展性。Beam所有交易都默认是私密的。新节点加入网络无需同步整个交易历史,可以请求同步只包含系统状态的压缩历史记录和区块头,从而实现快速同步。 |
更新时间: | 20220708 |
事件名称: | TCP_木马_CPUMiner_挖矿控制命令通信_矿机设置共享目标(BTC/LTC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到矿机向矿池表明对共享目标的偏好的行为。源IP所在的主机可能被植入了CPUMiner挖矿木马。CPUMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。 |
更新时间: | 20220708 |
事件名称: | HTTP_提权攻击_Spring_Boot_H2database_console_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用h2console的默认路由设置为外部恶意jndi服务器地址。H2Database是一个开源的嵌入式数据库引擎,采用java语言编写,不受平台的限制,同时H2Database提供了一个十分方便的web控制台用于操作和管理数据库内容。H2Database还提供兼容模式,可以兼容一些主流的数据库,因此采用H2Database作为开发期的数据库非常方便。 |
更新时间: | 20220708 |
事件名称: | HTTP_安全漏洞_CMS_Joomla代码执行[CVE-2020-10238] |
安全类型: | 安全漏洞 |
事件描述: | Joomla!是美国OpenSourceMatters团队的一套使用PHP和MySQL开发的开源、跨平台的内容管理系统(CMS)。Joomla是一套内容管理系统,是使用PHP语言加上MYSQL数据库所开发的软件系统。由于joomla权限分配不合理导致管理员权限账号可对相关php页面进行编辑,插入相关恶意代码导致命令执行。 |
更新时间: | 20220708 |
事件名称: | HTTP_安全漏洞_Apache_HTTP_Server_路径穿越漏洞[CVE-2021-42013][CNNVD-202110-413] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在尝试对目的IP主机通过ApacheHTTPServer进行目录穿越漏洞攻击尝试的行为。Apache_HTTP_Server是Apache基础开放的流行的HTTP服务器。 |
更新时间: | 20220708 |
事件名称: | HTTP_提权攻击_Gogs_session_未授权访问[CVE-2018-18925][CNNVD-201811-049] |
安全类型: | 安全漏洞 |
事件描述: | gogs是一款极易搭建的自助Git服务平台,具有易安装、跨平台、轻量级等特点,使用者众多。其0.11.66及以前版本中,(go-macaron/session库)没有对sessionid进行校验,攻击者利用恶意sessionid即可读取任意文件,通过控制文件内容来控制session内容,进而登录任意账户。攻击者可登陆任意账号包括管理员账号,同时可利用githooks执行任意命令,同时存在严重的越权和命令执行问题。 |
更新时间: | 20220708 |
事件名称: | HTTP_提权攻击_SaltStack_未授权访问[CVE-2021-25281][CNNVD-202102-1696] |
安全类型: | 安全漏洞 |
事件描述: | SaltAPIwheel_async未授权访问漏洞中,攻击者可构造恶意请求,通过wheel_async调用master的wheel插件。 |
更新时间: | 20220708 |
事件名称: | HTTP_文件操作攻击_可疑敏感文件下载 |
安全类型: | 安全漏洞 |
事件描述: | 发现敏感文件下载行为,如下载备份文件,程序源码,SQL文件,配置文件等这类行为。 |
更新时间: | 20220708 |
事件名称: | HTTP_文件操作攻击_可疑可执行文件上传 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机存在上传可疑webshell到目的ip主机的行为 |
更新时间: | 20220708 |
事件名称: | TCP_可疑行为_Java_Shellcode本地进程注入 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用WindowsVirtualMachine类中的enqueue方法对目的主机进行Java本地进程注入攻击的行为。攻击者可以发送精心构造的payload,使用恶意类进行进程注入执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20220708 |
事件名称: | HTTP_安全漏洞_CouchDB_垂直越权漏洞[CVE-2017-12635][CNNVD-201711-487] |
安全类型: | 安全漏洞 |
事件描述: | ApacheCouchDB是一个开源数据库,专注于易用性和成为”完全拥抱web的数据库”。它是一个使用JSON作为存储格式,JavaScript作为查询语言,MapReduce和HTTP作为API的NoSQL数据库。导致漏洞的原因是Erlang和JavaScript,对JSON解析方式的不同,对于重复的键Erlang会存储两个值,而JavaScript只存储第二个值。 |
更新时间: | 20220708 |
事件名称: | HTTP_安全漏洞_Discuz!ML_V3.X_命令执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | Discuz!ML系统对cookie中接收的language参数内容未过滤,导致字符串拼接,从而执行php代码。 |
更新时间: | 20220708 |
事件名称: | HTTP_可疑行为_OpenSSL_反弹shell命令注入 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在向目的主机进行OpenSSL反弹shell命令注入攻击。反弹连接,是指攻击者指定服务端,受害者主机主动连接攻击者的服务端程序。反弹shell通常用于被控端因防火墙受限、权限不足、端口被占用等情形。攻击者攻击成功后可以远程执行系统命令。 |
更新时间: | 20220708 |
事件名称: | HTTP_代码执行_CMS-Phpcms:V9.5.8_后台getshell |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用CMS-Phpcms:V9.5.8后台任意代码执行漏洞对目的主机进行攻击的行为,该漏洞利用content.php文件构造恶意payload,从而造成代码执行。 |
更新时间: | 20220708 |
事件名称: | HTTP_木马后门_Covenant_连接C2服务器_上传信息或命令交互 |
安全类型: | 木马后门 |
事件描述: | Covenant是一个.NET开发的C2(commandandcontrol)框架,使用.NETCore的开发环境,不仅支持Linux,MacOS和Windows,还支持docker容器。Covenant支持动态编译,能够将输入的C#代码上传至C2Server,获得编译后的文件并使用Assembly.Load()从内存进行加载。该事件表明,Covenant的生成物Grunts木马后门正在连接C2服务器进行上传信息或命令交互。 |
更新时间: | 20220708 |
事件名称: | HTTP_安全漏洞_Alibaba-Canal-config云密钥信息泄露漏洞 |
安全类型: | CGI攻击 |
事件描述: | canal是阿里巴巴旗下的一款开源项目,因权限问题,攻击者可通过特定的地址访问获取一些较为敏感的数据。 |
更新时间: | 20220708 |
事件名称: | HTTP_安全漏洞_laravel_pop3利用链攻击[CVE-2022-31279][CNNVD-202206-671] |
安全类型: | 安全漏洞 |
事件描述: | Laravel9.1.8在处理攻击者控制的反序列化数据时,允许通过Illuminate\Broadcasting\PendingBroadcast.php中的__destruct和Faker\Generator.php中的__call中的未序列化弹出链执行远程代码执行(RCE)。 |
更新时间: | 20220708 |
事件名称: | HTTP_安全漏洞_Apache-Airflow_远程代码执行[CVE-2022-24288][CNNVD-202202-1940] |
安全类型: | 安全漏洞 |
事件描述: | 在ApacheAirflow2.2.4之前的版本中,一些示例DAG没有正确清理用户提供的参数,使其容易受到来自WebUI的OS命令注入的影响。 |
更新时间: | 20220708 |
事件名称: | HTTP_提权攻击_Apache_Shiro_v1.7.1以下_非授权访问[CVE-2020-17523][CNNVD-202102-238] |
安全类型: | 安全漏洞 |
事件描述: | ApacheShiro是一个强大且易用的Java安全框架,它可以用来执行身份验证、授权、密码和会话管理。目前常见集成于各种应用中进行身份验证,授权等。对于ApacheShiro1.7.1之前的版本,当将ApacheShiro与Spring控制器一起使用时,攻击者特制请求可能会导致身份验证绕过。 |
更新时间: | 20220708 |
事件名称: | HTTP_提权攻击_SangforEDR不高于3.2.19_非授权访问 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在试图通过SangforEDR的非授权访问漏洞,输入user=admin即可获取用户权限。Sangfor终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案。 |
更新时间: | 20220708 |
事件名称: | HTTP_安全漏洞_CLTPHP-v5.8_后台任意文件删除 |
安全类型: | 安全漏洞 |
事件描述: | CLTPHP是基于ThinkPHP5开发,后台采用Layui框架的内容管理系统。CLTPHP5.8及之前版本存在后台任意文件删除漏洞,通过构造恶意payload攻击者可删除系统中的任意文件。 |
更新时间: | 20220708 |
事件名称: | TCP_提权攻击_AspectJWeaver_Java反序列化利用链攻击 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用aspectjweaver的Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了存在aspectjweaver:1.9.2,commons-collections:3.2.2的依赖,攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20220708 |
事件名称: | HTTP_文件操作攻击_Gila-CMS-2.0.0_文件写入 |
安全类型: | 安全漏洞 |
事件描述: | GilaCMS2.0.0版本及以下版本会将User-Agent中的内容写入到GSESSIONIDcookie中指定的文件中,因此可以利用这点将webshell写入到php文件中,造成任意代码执行。 |
更新时间: | 20220708 |
事件名称: | HTTP_提权攻击_上海格尔安全认证网关管理系统_service.php_命令执行 |
安全类型: | 安全漏洞 |
事件描述: | 上海格尔安全认证网关管理系统存在一个命令执行漏洞,该漏洞源于service.php中对传入的service_path参数内容过滤不严谨,攻击者可以通过构造恶意请求,远程执行任意命令。 |
更新时间: | 20220708 |
事件名称: | HTTP_提权攻击_上海格尔安全认证网关管理系统_PrivManager.php_命令执行 |
安全类型: | 安全漏洞 |
事件描述: | 上海格尔安全认证网关管理系统存在一个命令执行漏洞,该漏洞源于PrivManager.php中对传入的mode_type参数内容过滤不严谨,攻击者可以通过构造恶意请求,远程执行任意命令。 |
更新时间: | 20220708 |
事件名称: | HTTP_提权攻击_上海格尔安全认证网关管理系统_SetVer.php_命令执行 |
安全类型: | 安全漏洞 |
事件描述: | 上海格尔安全认证网关管理系统存在一个命令执行漏洞,该漏洞源于SetVer.php中对传入的version_type参数内容过滤不严谨,攻击者可以通过构造恶意请求,远程执行任意命令。 |
更新时间: | 20220708 |
事件名称: | TCP_提权攻击_PHP-8.1.0-dev_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | PHP8.1.0-dev于2021年3月28日发布的版本中存在后门,通过User-Agentt头可以执行任意代码或命令 |
更新时间: | 20220708 |
事件名称: | TCP_提权攻击_Spring3_Java反序列化利用链攻击 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用Spring3的Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了spring-tx:5.2.3.RELEASE,spring-context:5.2.3.RELEASE,javax.transaction-api:1.2,攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令,获取系统控制权。 |
更新时间: | 20220708 |
事件名称: | TCP_提权攻击_JRMPListener_Java反序列化利用链攻击 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用JRMPListener的Java反序列化利用链对目的主机进行攻击的行为。攻击者可以发送精心构造的Java序列化对象,远程执行任意代码或命令。远程执行任意代码,获取系统控制权。 |
更新时间: | 20220708 |
事件名称: | HTTP_提权攻击_奇安信终端安全管理系统天擎越权访问漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到攻击者正在利用天擎前台直接访问目录可获取数据库相关信息 |
更新时间: | 20220708 |
事件名称: | HTTP_安全漏洞_Netgear-交换机_命令注入[CVE-2021-33514][CNNVD-202105-1401] |
安全类型: | 安全漏洞 |
事件描述: | 设备在接收到setup.cgi?token=';$HTTP_USER_AGENT;'一类数据事,由于未进行安全过滤,存在被攻击者通过存心构造的恶意数据攻击,导致在设备上执行任意命令。 |
更新时间: | 20220708 |
修改事件
事件名称: | HTTP_敏感信息泄露_常见敏感文件访问 |
安全类型: | CGI攻击 |
事件描述: | 检测到源IP主机正在探测目的ip主机中可能暴露在外的敏感文件。 |
更新时间: | 20220708 |
事件名称: | HTTP_Oracle_WebLogic_反序列化漏洞[CVE-2019-2725/CVE-2019-2729] |
安全类型: | 安全漏洞 |
事件描述: | 此漏洞是由于应用在处理反序列化输入信息时存在缺陷,攻击者可以通过发送精心构造的恶意HTTP请求,用于获得目标服务器的权限,并在未授权的情况下执行远程命令,最终获取服务器的权限。CVE-2019-2729是CVE-2019-2725的绕过。 |
更新时间: | 20220708 |
事件名称: | HTTP_代码执行_Apache_DolphinScheduler_远程代码执行漏洞[CVE-2020-11974][CNNVD-202012-1358] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用ApacheDolphinScheduler的JDBC客户端进行反序列化操作进而导致远程代执行。ApacheDolphinScheduler(Incubator,原EasyScheduler)是一个分布式数据工作流任务调度系统,主要解决数据研发ETL错综复杂的依赖关系,而不能直观监控任务健康状态等问题。 |
更新时间: | 20220708 |
事件名称: | HTTP_安全漏洞_Horde_Groupware_Webmail_Edition_反序列化远程代码执行漏洞[ZDI-20-1051] |
安全类型: | 安全漏洞 |
事件描述: | HordeGroupwareWebmail是美国Horde公司的一套基于浏览器的企业级通信套件。HordeGroupwareWebmail中存在代码注入漏洞。允许攻击者在IMP_Prefs_Sort类的构造函数中对不受信任的数据漏洞进行反序列化。低特权的经过身份验证的攻击者可以利用这一点来实现远程代码执行 |
更新时间: | 20220708 |
事件名称: | HTTP_安全漏洞_MidaSolutionseFramework_ajaxreq.php命令注入漏洞[CVE-2020-15920][CNNVD-202007-1517] |
安全类型: | 安全漏洞 |
事件描述: | MidaSolutions是一家专注于统一通信(UC)的高技能意大利公司,Mida团队已成为统一协作和专业沟通的全球领导者,几乎所有行业的服务提供商,系统集成商。其合作伙伴有微软,思科,惠普,中国电信等40个世界知名企业。MidaeFramework是MidaSolutions公司旗下视频和语音应用程序的完整服务套件,与几乎所有主要的UC平台兼容。该套件包括话务员控制台,记录器,传真服务器,计费,队列管理器,自动话务员,移动应用程序,电话服务。MidaSolutionseFramework2.9.0及之前版本中存在操作系统命令注入漏洞。它使未经身份认证的攻击者能够获得具有管理(root)特权的远程代码执行(RCE)。注入点位于未公开的PHP页面上,该页面可以使用GET或POST恶意负载作为目标。 |
更新时间: | 20220708 |
事件名称: | HTTP_代码执行_SaltStack_远程代码执行漏洞[CVE-2020-16846/CVE-2020-25592][CNNVD-202011-302/CNNVD-202011-308] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP正在利用SaltStack的salt-api接口执行任意命令;SaltStack是一个分布式运维系统,在互联网场景中被广泛应用,有以下两个主要功能:配置管理系统,能够将远程节点维护在一个预定义的状态(例如,确保安装特定的软件包并运行特定的服务)分布式远程执行系统,用于在远程节点上单独或通过任意选择标准来执行命令和查询数据。该事件由两个组合的CVE漏洞的使用产生,通过CVE-2020-25592构造任意“eauth”/“token”值,绕过身份认证;通过CVE-2020-16846执行shell。 |
更新时间: | 20220708 |
事件名称: | HTTP_安全漏洞_SQL_Server_远程代码执行漏洞[CVE-2020-0618][CNNVD-202002-496] |
安全类型: | 安全漏洞 |
事件描述: | SQLServer是Microsoft开发的一个关系数据库管理系统(RDBMS),是现在世界上广泛使用的数据库之一。该漏洞源于获得低权限的攻击者向受影响版本的SQLServer的ReportingServices实例发送精心构造的请求,可利用此漏洞在报表服务器服务帐户的上下文中执行任意代码。 |
更新时间: | 20220708 |
事件名称: | HTTP_可疑行为_PHP反序列化对象格式数据发现 |
安全类型: | 可疑行为 |
事件描述: | 若程序未对用户输入的序列化字符串进行检测,则可能导致攻击者可以控制反序列化过程,通过在参数中注入一些代码,从而达到代码执行,SQL注入,目录遍历等不可控后果。 |
更新时间: | 20220708 |
京公网安备11010802024551号