每周升级公告-2022-10-25
发布时间 2022-10-25新增事件
事件名称: | HTTP_提权攻击_PropertyPathFactoryBean_SnakeYAML反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用SnakeYAML的PropertyPathFactoryBean反序列化利用链进行攻击,从而获取目标系统权限 |
更新时间: | 20221025 |
事件名称: | HTTP_提权攻击_DefaultBeanFactoryPointcutAdvisor_SnakeYAML反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用SnakeYAML的DefaultBeanFactoryPointcutAdvisor反序列化利用链进行攻击,从而获取目标系统权限 |
更新时间: | 20221025 |
事件名称: | HTTP_提权攻击_CommonsConfiguration_SnakeYAML反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用SnakeYAML的CommonsConfiguration反序列化利用链进行攻击,从而获取目标系统权限 |
更新时间: | 20221025 |
事件名称: | HTTP_文件操作攻击_Grafana_8.3.0_文件读取[CVE-2021-43798][CNNVD-202112-482] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用Grafana8.0.0-8.3.0版本中存在的文件读取漏洞,从而在未授权的情况下读取目标系统敏感文件。Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告 |
更新时间: | 20221025 |
事件名称: | TCP_网络扫描_NMAP工具_HTTP_扫描 |
安全类型: | 安全扫描 |
事件描述: | 检测到源IP主机正在利用对目的主机试图通过NMAP获取对应主机http服务器版本和对应厂商的行为。这可能会导致系统泄露相关信息。 |
更新时间: | 20221025 |
事件名称: | HTTP_提权攻击_FortiOS_7.2.1_权限绕过[CVE-2022-40684][CNNVD-202210-347] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用FortiOS7.2.1及以下版本,FortiProxy7.2.0及以下版本,FortiSwitchManager7.2.0及以下版本中存在的权限绕过漏洞,在未授权的情况下修改用户的ssh公钥,从而获取目标系统权限。 |
更新时间: | 20221025 |
事件名称: | TCP_漏洞利用_ShiroAttack2工具使用-暴力破解利用链_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用ShiroAttack工具对目的主机上的ApachShiro的Rememberme处远程代码执行漏洞进行利用链暴破攻击。ApacheShiro(漏洞版本<=1.2.4)是一个强大且易用的Java安全框架,被用来执行身份验证、授权、密码和会话管理 |
更新时间: | 20221025 |
修改事件
事件名称: | HTTP_提权攻击_Struts2_S2-032_代码执行[CVE-2016-3081] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用Struts2.3.20-StrutsStruts2.3.28(2.3.20.3和2.3.24.3除外)中存在的代码执行漏洞,从而获取目标系统权限。Struts2是一个简洁的、可扩展的框架,可用于创建企业级Javaweb应用程序。设计这个框架是为了从构建、部署、到应用程序维护方面来简化整个开发周期。 |
更新时间: | 20221025 |
事件名称: | TCP_提权攻击_Oracle_Weblogic_反序列化_代码执行[CVE-2020-2801] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用OracleWeblogic10.3.6.0.0,12.1.3.0.0,12.2.1.3.0,12.2.1.4.0版本中存在的反序列化漏洞,使用t3协议发送恶意的序列化数据,从而获取目标系统权限。Weblogic是目前全球市场上应用最广泛的J2EE工具之一,被称为业界最佳的应用程序服务器,其用于构建J2EE应用程序,支持新功能,可降低运营成本,提高性能,增强可扩展性并支持OracleApplications产品组合。 |
更新时间: | 20221025 |
事件名称: | HTTP_提权攻击_用友NC6.5_XbrlPersistenceServlet_反序列化_代码执行 |
安全类型: | 可以行为 |
事件描述: | 检测到源ip正在利用用友NC6.5中XbrlPersistenceServlet接口存在的反序列化漏洞,使用URLDNS利用链探测该漏洞是否存在。用友NC以“全球化集团管控、行业化解决方案、全程化电子商务、平台化应用集成”的管理业务理念而设计,是中国大企业集团管理信息化应用系统的首选。 |
更新时间: | 20221025 |
事件名称: | TCP_提权攻击_Jackson_Databind_反序列化_代码执行[CVE-2020-36189、CVE-2020-36188、CVE-2019-14439、CVE-2019-14361] |
安全类型: | 安全漏洞 |
事件描述: | Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为java对象的框架。攻击者可能利用jackson的可疑反序列化类logback攻击目的IP主机。 |
更新时间: | 20221025 |
事件名称: | TCP_提权攻击_Oracle_WebLogic_反序列化_代码执行[CVE-2020-2883] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用WebLogicServer10.3.6.0.0,12.1.3.0.0,12.2.1.3.0,12.2.1.4.0版本中存在的反序列化漏洞,从而获取目标系统的权限。WebLogic是美国Oracle公司出品的一个applicationserver,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和JavaEnterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 |
更新时间: | 20221025 |
事件名称: | TCP_提权攻击_Jackson_Databind_反序列化_代码执行[CVE-2020-8840][CNNVD-202002-354] |
安全类型: | 安全漏洞 |
事件描述: | Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为java对象的框架。此漏洞中攻击者可利用xbean-reflect的利用链触发JNDI远程类加载从而达到远程代码执行。 |
更新时间: | 20221025 |
事件名称: | HTTP_提权攻击_Zabbix_小于4.4_未授权访问 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用Zabbix小于4.4版本中存在的为未授权访问漏洞,从而在未经授权的情况下访问Zabbix服务器上的数据,导致敏感信息泄露。 |
更新时间: | 20221025 |
事件名称: | HTTP_提权攻击_Struts2_S2-055_REST_JacksonLibrary_代码执行[CVE-2017-7525] |
安全类型: | 安全漏洞 |
事件描述: | Tomcat服务器是一个免费的开放源代码的Web应用服务器。Struts2是Apache软件基金会负责维护的一款用于创建企业级JavaWeb应用的开源框架。Struts2在v2.5-v2.5.14,攻击者通过调用REST插件中的存在反序列化漏洞的JacksonLibrary来处理JSON数据,从而触发反序列化漏洞。 |
更新时间: | 20221025 |
事件名称: | HTTP_信息泄露_PACSOne_Server_6.6.2_DICOM_Web_Viewer_目录遍历 |
安全类型: | CGI攻击 |
事件描述: | 检测到源IP主机正试图通过PACSOneServer中存在的目录遍历漏洞攻击目的IP主机的行为。远程攻击者可借助nocache.php脚本的‘path’参数中的‘..’字符利用该漏洞读取任意文件。攻击者可利用该漏洞获取敏感信息 |
更新时间: | 20221025 |
事件名称: | HTTP_文件操作攻击_通达OA_print.php_文件删除 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用通达OA的V11.6及以前的版本存在的文件删除漏洞进行攻击。通达OA是OfficeAnywhere的简称,该系统采用领先的B/S(浏览器/服务器)操作方式,使得网络办公不受地域限。OfficeAnywhere采用基于WEB的企业计算,主HTTP服务器采用了世界上最先进的Apache服务器,性能稳定可靠。数据存取集中控制,避免了数据泄漏的可能。提供数据备份工具,保护系统数据安全。多级的权限控制,完善的密码验证与登录验证机制更加强了系统安全性。 |
更新时间: | 20221025 |
事件名称: | TCP_提权攻击_Oracle_WebLogic_反序列化_代码执行[CVE-2020-14645][CVE-2020-14625][CVE-2020-14644][CVE-2020-14687] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用OracleWebLogic10.3.6.0.0,12.1.3.0.0,12.2.1.3.0,12.2.1.4.0版本中存在的反序列化漏洞,从而获取目标系统权限 |
更新时间: | 20221025 |
事件名称: | HTTP_其它可疑行为_PHP伪协议 |
安全类型: | 可疑行为 |
事件描述: | 检测到源ip主机正在使用PHP的一些封装协议,如php://input,php://filter等提交一句话木马,或远程执行命令来攻击受害者服务器,从而获取目标系统权限。 |
更新时间: | 20221025 |
事件名称: | TCP_提权攻击_Jenkins反序列化_代码执行[CVE-2017-1000353] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用Jenkins2.56及之前的版本和2.46.1LTS及之前的版本中存在的反序列化漏洞进行攻击,从而获取目标系统权限。Jenkins是一个可扩展的开源持续集成服务器,在很多企业的内网中都部署了这个系统。Jenkins2.56及之前的版本和2.46.1LTS及之前的版本中存在远程代码执行漏洞。远程攻击者可通过向JenkinsCLI传递序列化的Java‘SignedObject’对象利用该漏洞绕过基于黑名单的保护机制。 |
更新时间: | 20221025 |
事件名称: | TCP_提权攻击_Jenkins反序列化_代码执行[CVE-2015-8103] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用Jenkins1.637及之前版本、JenkinsLTS1.625.1及之前版本存在的反序列化漏洞进行代码执行攻击,从而获取目标主机权限。Jenkins是一个可扩展的开源持续集成服务器。 |
更新时间: | 20221025 |
事件名称: | HTTP_提权攻击_JBossMQ_JMS反序列化_代码执行[CVE-2017-7504][CNNVD-201705-937] |
安全类型: | 安全漏洞 |
事件描述: | RedHatJBossApplicationServer是一款基于JavaEE的开源应用服务器。JBossAS4.x及之前版本中,JbossMQ实现过程的JMSoverHTTPInvocationLayer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。 |
更新时间: | 20221025 |
事件名称: | HTTP_提权攻击_JACKSON-databind_2670_远程代码执行[CVE-2020-11113][CNNVD-202003-1735] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用FasterXML_Jackson的远程代码执行漏洞向目的ip进行反序列化攻击;FasterXMLJackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 |
更新时间: | 20221025 |
事件名称: | HTTP_提权攻击_InfluxDB_未授权访问 |
安全类型: | 安全漏洞 |
事件描述: | influxdb是一款著名的时序数据库,其使用jwt作为鉴权方式。在用户开启了认证,但未设置参数shared-secret的情况下,jwt的认证密钥为空字符串,此时攻击者可以伪造任意用户身份在influxdb中执行SQL语句。 |
更新时间: | 20221025 |
事件名称: | HTTP_文件操作攻击_IncomCMS_2.0_文件上传[CVE-2020-29597][CNNVD-202012-431] |
安全类型: | 安全漏洞 |
事件描述: | IncomCMS2.0以及之前的版本存在文件上传漏洞,攻击者可以上传webshell获取目标系统权限 |
更新时间: | 20221025 |
事件名称: | HTTP_提权攻击_Docker_Remote_API_未授权访问 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用DockerRemoteAPI配置不当时导致的未授权访问漏洞dockerclient或者http直接请求访问这个API,从而直接访问宿主机上的敏感信息,或对敏感文件进行修改,最终完全控制服务器。DockerRemoteAPI是一个取代远程命令行界面(rcli)的RESTAPI。 |
更新时间: | 20221025 |
事件名称: | HTTP_提权攻击_ShiroAttack工具使用_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用ShiroAttack工具对目的主机上的ApachShiro的Rememberme处远程代码执行漏洞进行攻击。ApacheShiro(漏洞版本<=1.2.4)是一个强大且易用的Java安全框架,被用来执行身份验证、授权、密码和会话管理 |
更新时间: | 20221025 |
事件名称: | HTTP_安全漏洞_ToTolink_N600R路由器_Exportovpn_未授权命令注入 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正试图通过ToTolinkN600R路由器Exportovpn命令注入漏洞攻击目的IP主机。在ToTolinkN600R路由器的cstecgi.cgi文件中,exportovpn接口存在命令注入,攻击者可借此未验证远程执行恶意命令。 |
更新时间: | 20221025 |
事件名称: | TCP_漏洞利用_ShiroAttack2工具使用_内存马注入_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用ShiroAttack工具对目的主机上的ApachShiro的Rememberme处远程代码执行漏洞进行利用,并在请求体处注入内存马。ApacheShiro(漏洞版本<=1.2.4)是一个强大且易用的Java安全框架,被用来执行身份验证、授权、密码和会话管理 |
更新时间: | 20221025 |
事件名称: | TCP_漏洞利用_ShiroAttack2工具使用-暴力破解利用链_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用ShiroAttack工具对目的主机上的ApachShiro的Rememberme处远程代码执行漏洞进行利用链暴破攻击。ApacheShiro(漏洞版本<=1.2.4)是一个强大且易用的Java安全框架,被用来执行身份验证、授权、密码和会话管理 |
更新时间: | 20221025 |