每周升级公告-2023-01-03

发布时间 2023-01-03
新增事件

 

事件名称:

TCP_木马后门_SparkRat_连接

安全类型:

木马后门

事件描述:

检测到SparkRat试图连接远程服务器。源IP所在的主机可能被植入了SparkRat。SparkRat是一个Go编写的,网页UI、跨平台以及多功能的远程控制和监控工具,可以随时随地监控和控制所有设备。

更新时间:

20230103

 

事件名称:

HTTP_提权攻击_ejs_模板注入_代码执行

安全类型:

安全漏洞

事件描述:

检测到主机正在遭受ejs模板注入攻击,Node.jsejs模块可能允许远程攻击者在系统上执行任意代码,这是由设置[查看选项][输出函数名称]中的服务器端模板注入缺陷引起的。通过发送特制的HTTP请求以使用任意OS命令覆盖outputFunctionName选项,攻击者可以利用此漏洞在系统上执行任意代码。

更新时间:

20230103

 

事件名称:

HTTP_审计事件_Nacos_敏感页面访问

安全类型:

安全审计

事件描述:

检测到当前主机正在遭受nacos敏感页面访问,Nacos是DynamicNamingandConfigurationService的首字母简称,一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。Nacos用于发现、配置和管理微服务。Nacos提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。Nacos帮助您更敏捷和容易地构建、交付和管理微服务平台。Nacos是构建以“服务”为中心的现代应用架构(例如微服务范式、云原生范式)的服务基础设施。Nacos官方在github发布的issue中披露AlibabaNacos存在一个由于不当处理User-Agent导致的未授权访问漏洞。通过该漏洞,攻击者可以进行任意操作,包括创建新用户并进行登录后操作。

更新时间:

20230103

 

事件名称:

HTTP_提权攻击_XStream_DOS[CVE-2022-41966]

安全类型:

拒绝服务

事件描述:

检测到源IP设备正在利用xstream远程代码执行漏洞攻击目的IP设备;Xstream解组时处理的流包含类型信息以重新创建以前编写的对象。XStream因此基于这些类型信息创建新实例。攻击者可以操纵处理过的输入流并替换或注入可以执行任意shell命令的对象。XStream中存在拒绝服务漏洞(CVE-2022-41966),XStream在将XML反序列化为对象时存在堆栈溢出,未经身份验证的远程攻击者通过操纵输入流,使XStream在递归散列计算时触发堆栈溢出,导致拒绝服务。

更新时间:

20230103

 

事件名称:

HTTP_提权攻击_Splunk_代码执行

安全类型:

安全漏洞

事件描述:

SplunkEnterprise是机器数据的引擎。使用Splunk可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及IT和业务智能。由于SplunkEnterprise中SimpleXML仪表板存在代码注入,经过身份验证的远程攻击者可构造特制的数据包,通过PDF导出操作触发任意代码执行。

更新时间:

20230103

 

事件名称:

HTTP_提权攻击_Webmin_命令执行[CVE-2019-15107]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用HTTP_提取攻击_Webmin_远程命令执行漏洞[CVE-2019-15107]攻击目的IP主机的行为允许远程攻击者执行任意命令。Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。在Webmin<=1.920的版本中,该漏洞由于password_change.cgi文件在重置密码功能中存在一个代码执行漏洞,该漏洞允许恶意第三方在缺少输入验证的情况下而执行恶意代码。

更新时间:

20230103

 

事件名称:

HTTP_提权攻击_IceWarp_WebClient_代码执行

安全类型:

安全漏洞

事件描述:

IceWarp,Inc.是一家位于捷克共和国布拉格的软件公司。它开发了IceWarpMailServer,这是一项面向中小型企业的电子邮件、消息和协作服务。其中该系统的WebClientbasic部分存在漏洞,攻击者可通过恶意payload造成代码执行。

更新时间:

20230103

 

事件名称:

HTTP_提权攻击_YouPHPTube_Encoder_命令执行[CVE-2019-5127]

安全类型:

安全漏洞

事件描述:

YouPHPTubeEncoder是YouPHPTube的编码器插件,该插件可在YouPHPTube中提供编码器功能。使用者在自己的服务器上安装并使用YouPHPTubeEncoder以取代第三方公共编码器服务器,可以更快速便捷的编码自己的视频,并且还可以使用私有方式对自己的视频进行编码。在YouPHPTubeEncoder2.3中,存在无需身份验证的命令注入漏洞。攻击者可以发送包含特定参数的Web请求来触发这些漏洞。

更新时间:

20230103

 

事件名称:

TCP_提权攻击_Jinja2_SSTI_代码执行

安全类型:

安全漏洞

事件描述:

jinja2模板中使用{{}}语法表示一个变量,它是一种特殊的占位符。当利用jinja2进行渲染的时候,它会把这些特殊的占位符进行填充/替换,jinja2支持python中所有的Python数据类型比如列表、字段、对象等。Jinja2渲染时不仅仅只进行填充和替换,还能够执行部分表达式。若攻击者能成功控制传入的表达式,则可以通过服务端模版渲染在目标主机上执行任意命令。

更新时间:

20230103

 

修改事件

 

事件名称:

TCP_提权攻击_Oracle_WebLogic_反序列化_代码执行[CVE-2021-2135][CNNVD-201804-803]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用OracleWebLogic反序列化远程代码执行漏洞,试图通过传入精心构造的恶意代码或命令来入侵目的IP主机。WebLogic是美国Oracle公司出品的应用程序服务器,是一个基于JavaEE架构的Web中间件。WebLogic存在Java反序列化远程代码执行高危安全漏洞。攻击者通过发送一个精心构造的Java序列化恶意代码,当WebLogic执行Java反序列化的过程中执行恶意代码,从而导致远程代码执行。由于WebLogic修复漏洞采用了黑名单过滤机制,有时候可能导致漏洞修复不彻底新的反序列化远程代码执行漏洞频发,因此请密切关注Oracle官方发布的漏洞补丁,及时进行补丁更新以确保服务器安全。

更新时间:

20230103

 

事件名称:

HTTP_文件操作攻击_Atlassian_Crowd_文件上传[CNNVD-201905-1031]

安全类型:

安全漏洞

事件描述:

检测到源IP正在利用AtlassianCrowd在uploadplugin.action处的文件上传漏洞进行攻击,上传恶意jar插件,从而使得AtlassianCrowd直接安装该插件从而执行任意命令。AtlassianCrowd是一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。

更新时间:

20230103

 

事件名称:

HTTP_提权攻击_XStream_反序列化[CVE-2013-7285]

安全类型:

安全漏洞

事件描述:

XStream实现了一套序列化和反序列化机制,核心是通过Converter转换器来将XML和对象之间进行相互的转换,XStream反序列化漏洞的存在是因为XStream支持一个名为DynamicProxyConverter的转换器,该转换器可以将XML中dynamic-proxy标签内容转换成动态代理类对象,而当程序调用了dynamic-proxy标签内的interface标签指向的接口类声明的方法时,就会通过动态代理机制代理访问dynamic-proxy标签内handler标签指定的类方法;利用这个机制,攻击者可以构造恶意的XML内容,当攻击者从外部输入该恶意XML内容后即可触发反序列化漏洞、达到任意代码执行的目的。

更新时间:

20230103

 

事件名称:

HTTP_安全漏洞_ToTolink_N600R路由器_Exportovpn_未授权命令注入

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图通过ToTolinkN600R路由器Exportovpn命令注入漏洞攻击目的IP主机。在ToTolinkN600R路由器的cstecgi.cgi文件中,exportovpn接口存在命令注入,攻击者可借此未验证远程执行恶意命令。

更新时间:

20230103

 

事件名称:

HTTP_安全漏洞_若依CMS_远程命令执行漏洞

安全类型:

安全漏洞

事件描述:

若依后台管理系统使用了snakeyaml的jar包,snakeyaml是用来解析yaml的格式,可用于Java对象的序列化、反序列化。由于若依后台计划任务处,对于传入的"调用目标字符串"没有任何校验,导致攻击者可以构造payload远程调用jar包,从而执行任意命令。

更新时间:

20230103