每周升级公告-2022-09-06

发布时间 2022-09-06
新增事件

 

事件名称:

HTTP_文件操作攻击_VMware_vCenter_Server_文件上传[CVE-2021-22005]

安全类型:

安全漏洞

事件描述:

VMware是一家云基础架构和移动商务解决方案厂商,提供基于VMware的虚拟化解决方案。2021年9月22日,VMware官方发布安全公告,披露了包括CVE-2021-22005VMwarevCenterServer任意文件上传漏洞在内的多个中高危严重漏洞。受该漏洞的影响版本为VMwarevCenterServer7.0系列<7.0U2c,VMwarevCenterServer6.7系列<6.7U3o,在CVE-2021-22005中,攻击者可构造恶意请求,通过vCenter中的Analytics服务,可上传恶意文件,从而造成远程代码执行漏洞。

更新时间:

20220906

 

事件名称:

HTTP_提权攻击_Zabbix_小于4.4_未授权访问

安全类型:

安全漏洞

事件描述:

Zabbix是拉脱维亚ZabbixSIA公司的一套开源的监控系统。该系统可监视各种网络参数,并提供通知机制让系统管理员快速定位、解决存在的各种问题。Zabbix存在一个未授权访问漏洞,通过该漏洞,攻击者可以在未经授权的情况下访问Zabbix服务器上的数据,导致敏感信息泄露。

更新时间:

20220906

 

事件名称:

TCP_木马后门_wmRat(蔓灵花)_连接

安全类型:

木马后门

事件描述:

检测到wmRat试图连接远程服务器。源IP所在的主机可能被植入了wmRat。wmRat是蔓灵花组织所使用了一个轻量化后门,基于CSharp语言,运行后,可以完全控制被植入机器。

更新时间:

20220906

 

事件名称:

TCP_僵尸网络_Orchard_连接

安全类型:

木马后门

事件描述:

检测到僵尸网络Orchard试图连接远程服务器,源IP所在的主机可能被植入了僵尸网络Orchard。Orchard是2021年2月出现的一个僵尸网络,使用DGA技术对抗检测。核心功能在受害者机器上安装各种恶意软件,目前为止,主要下载门罗币挖矿软件进行挖矿。

更新时间:

20220906

 

事件名称:

DNS_可疑行为_oast_带外查询

安全类型:

CGI攻击

事件描述:

oast是一个免费的、无需注册就可以快速使用的DNSLog平台,能够对发送过去的DNS请求进行记录。经常被攻击者用于传输执行命令结果的回显。

更新时间:

20220906

 

事件名称:

DNS_可疑行为_interact_带外查询

安全类型:

CGI攻击

事件描述:

interact.sh是interact.sh工具配套的DNSLog平台,能够对发送过去的DNS请求进行记录。经常被攻击者用于传输执行命令结果的回显。

更新时间:

20220906


 

事件名称:

TCP_提权攻击_Struts2_S2-045_代码执行[CVE-2017-5638]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图通过ApacheStruts2框架命令执行漏洞攻击目的IP主机。在使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞,攻击者可以在文件上传时通过构造HTTP请求头中的Content-Type值可能造成远程代码执行漏洞。漏洞存在的版本:Struts2.3.5-Struts2.3.31,Struts2.5-Struts2.5.10尝试测试验证ApacheStruts2S2-045远程代码执行漏洞,测试不具有攻击性,但可能暴露系统脆弱性特征。

更新时间:

20220906

 

事件名称:

TCP_提权攻击_Struts2_S2-046_代码执行[CVE-2017-5638]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图通过ApacheStruts2框架命令执行漏洞攻击目的IP主机。攻击者在使用Jakarta插件处理文件上传操作时可能导致远程代码执行漏洞,构造恶意OGNL使得上传文件的大小(由Content-Length头指定)大于Struts2允许的最大大小2GB。漏洞存在的版本:Struts2.3.5-Struts2.3.31,Struts2.5-Struts2.5.10攻击成功,可远程执行任意代码。

更新时间:

20220906

 

修改事件

 

事件名称:

HTTP_信息泄露_目录遍历[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在尝试对目的IP主机进行目录穿越漏洞攻击尝试的行为。目录穿越漏洞能使攻击者绕过Web服务器的访问限制,对web根目录以外的文件夹,任意地读取甚至写入文件数据。此规则是一条通用规则,其他漏洞(甚至一些0day漏洞)攻击的payload也有可能触发此事件报警。由于正常业务中一般不会产生此事件特征的流量,所以需要重点关注。允许远程攻击者访问敏感文件。

更新时间:

20220906