每周升级公告-2022-10-04

发布时间 2022-10-04

新增事件

 

事件名称:

HTTP_提权攻击_VMware_vCenter_Server_SSRF服务端请求伪造[CVE-2021-21973][CNNVD-202102-1559]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用VMwarevCenterServer未对用户提供的输入验证的漏洞,在“vcIP”构造恶意ip,欺骗应用程序向任意系统发起请求实现内网扫描,从而获取内网信息,导致信息泄露。VMwarevCenterServer(以前称为VMwareVirtualCenter),可集中管理VMwarevSphere环境,与其他管理平台相比,极大地提高了IT管理员对虚拟环境的控制。

更新时间:

20221004

 

事件名称:

HTTP_提权攻击_ToTolink_t6_firmware_命令执行[CVE-2022-38828]

安全类型:

安全漏洞

事件描述:

检测到源ip主机正在利用ToTolink_t6_firmwareV4.1.5cu.709_B20210518中cstecgi.cgi处的漏洞,构造恶意命令进行命令注入攻击,从而获取目标系统权限。

更新时间:

20221004


 

事件名称:

TCP_网络扫描_NMAP工具_RDP_扫描

安全类型:

安全扫描

事件描述:

检测到源IP主机正在利用对目的主机使用NMAP通过RDP协议获取计算机信息的行为。可能会导致系统泄露相关信息。

更新时间:

20221004

 

事件名称:

TCP_网络扫描_NMAP工具_RDP_扫描

安全类型:

安全扫描

事件描述:

检测到源IP主机正在利用对目的主机使用NMAP通过SMB协议获取计算机信息的行为。可能会导致系统泄露相关信息。

更新时间:

20221004

 

修改事件

 

事件名称:

HTTP_提权攻击_ThinkPHP5.15.2_远程代码执行

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用ThinkPHP5远程代码执行漏洞攻击目的IP主机的行为,该漏洞是由于ThinkPHP5框架底层对控制器名过滤不严,从而让攻击者可以通过url调用到ThinkPHP框架内部的敏感函数,进而导致getshell漏洞。攻击成功,可远程执行任意代码。ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架。

更新时间:

20221004


事件名称:

HTTP_提权攻击_Jolokia_JNDI_远程代码执行

安全类型:

注入攻击

事件描述:

检测到源ip主机正在利用Jolokia的JNDI接口构造恶意ldap和rmi请求,从而执行任意代码。Jolokia是一个JMX-HTTP连接器,可以替代JSR-160连接器。

更新时间:

20221004

 

事件名称:

HTTP_提权攻击_ThinkPHP5.0.x_远程代码执行[CVE-2018-20062][CNNVD-201812-489]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用ThinkPHP框架的远程代码执行漏洞攻击目的IP主机的行为,试图远程注入PHP代码,在目标服务器上执行任意代码或命令。ThinkPHP是一个流行的轻量级国产PHP开发框架

更新时间:

20221004

 

事件名称:

HTTP_文件操作攻击_WordPress_Social_Warfare_Plugin_before3.5.3_文件包含

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用WordPress的Social_Warfare插件进行远程代码执行,该插件没有对传入参数进行严格控制以及过滤,导致攻击者可构造恶意payload,无需后台权限,直接造成远程命令执行漏洞。social-warfare是一款WordPress社交分享按钮插件。

更新时间:

20221004


 

事件名称:

HTTP_提权攻击_JACKSON_databind_caucho_远程代码执行

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用目的主机上JACKSON的黑名单局限,通过com.caucho.config.types.ResourceRef类构造恶意java代码。jackson-databind是隶属FasterXML项目组下的JSON处理库。

更新时间:

20221004


 

事件名称:

HTTP_提权攻击_JACKSON_Shiro_远程代码执行

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用目的主机上JACKSON的黑名单局限,通过shiro-core类触发JNDI远程类加载操作。FasterXMLJackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。

更新时间:

20221004


 

事件名称:

TCP_提权攻击_WebLogic_代码执行[CVE-2022-21350]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Weblogic中的OracleFusionMiddleware(组件:Core)中的漏洞构造恶意反序列代码通过T3访问网络来进行攻击;Weblogic是目前全球市场上应用最广泛的J2EE工具之一,被称为业界最佳的应用程序服务器,其用于构建J2EE应用程序,支持新功能,可降低运营成本,提高性能,增强可扩展性并支持OracleApplications产品组合。T3协议是用于Weblogic服务器和其他JavaApplication之间传输信息的协议,是实现RMI远程过程调用的专有协议,其允许客户端进行JNDI调用。

更新时间:

20221004


 

事件名称:

HTTP_网络扫描_天镜6.0扫描器

安全类型:

安全扫描

事件描述:

检测到源IP地址的主机正在使用天镜6.0扫描工具对目的IP地址进行漏洞扫描。天镜脆弱性扫描与管理系统是启明星辰公司自主研发的基于网络的安全性能评估分析系统,可以对网络中的各种系统、设备和数据库进行漏洞扫描,对网络进行有效的评估,并提出建设性的解决方案。可能会导致目的系统泄露某些敏感信息。

更新时间:

20221004


 

事件名称:

HTTP_注入攻击_WebLogic_Blind_XXE注入[CVE-2019-2647]

安全类型:

注入攻击

事件描述:

检测到源IP主机正在利用WebLogic_Blind_XXE注入漏洞对目的主机进行攻击的行为。WebLogic_Blind_XXE注入漏洞,攻击者可以在未授权的情况下将payload封装在T3协议中,通过对T3协议中的payload进行反序列化,从而实现对存在漏洞的WebLogic组件进行远程BlindXXE攻击,读取目标系统文件。

更新时间:

20221004

 

事件名称:

TCP_提权攻击_Adobe_Coldfusion_JNBridge_listener_远程代码执行[CVE-2019-7839][CNNVD-201906-514]

安全类型:

安全漏洞

事件描述:

检测到源IP正在利用AdobeColdfusion的JNBridge组件的漏洞构造恶意java代码,从而执行任意命令。AdobeColdFusion是一个商用的快速开发平台。它可以作为一个开发平台使用,也可以提供Flash远程服务或者作为AdobeFlex应用的后台服务器。由于JNBridge组件存在缺陷,而ColdFusion默认开启JNBridge组件,可能导致代码执行漏洞。

更新时间:

20221004


 

事件名称:

HTTP_提权攻击_Cacti_远程代码执行[CVE-2020-8813][CNNVD-202002-1075]

安全类型:

安全漏洞

事件描述:

检测到源ip主机正在通过在Cacti1.2.8及之前的版本的访客页面“graph_realtime.php”处未对Cookie处的输入进行验证的漏洞,构造恶意代码从而执行远程命令。,Cacti是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具。它通过snmpget来获取数据,使用RRDtool绘画图形,而且完全可以不需要了解RRDtool复杂的参数。

更新时间:

20221004


 

事件名称:

HTTP_提权攻击_Jellyfin_SSRF_服务端请求伪造[CVE-2021-29490]

安全类型:

注入攻击

事件描述:

检测到源主机ip正在利用Jellyfin及10.7.3之前的SSRF漏洞,构造恶意请求该漏洞探测内网信息。Jellyfin是一个免费的软件媒体系统。

更新时间:

20221004

 

事件名称:

HTTP_提权攻击_weblogic_服务端请求伪造[CVE-2014-4210]

安全类型:

安全扫描

事件描述:

检测到源IP主机正在利用weblogic服务端请求伪造漏洞对目的主机进行攻击的行为。OracleWebLogicServer是美国甲骨文(Oracle)公司的一款适用于云环境和传统环境的应用服务器,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。OracleFusionMiddleware10.0.2.0和10.3.6.0版本的OracleWebLogicServer组件中的WLS-WebServices子组件存在安全漏洞。远程攻击者可利用该漏洞读取数据,影响数据的保密性。获取内网信息。

更新时间:

20221004