每周升级公告-2023-01-17
发布时间 2023-01-17
事件名称: | HTTP_提权攻击_Hashicorp_Consul_Service_API_远程命令执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用Consul中存在的远程命令执行漏洞进行攻击。Consul是HashiCorp公司推出的一款开源工具,用于实现分布式系统的服务发现与配置。在启用了脚本检查参数(-enable-script-checks)的Consul所有版本中,恶意攻击者可以通过发送精心构造的HTTP请求在未经授权的情况下在Consul服务端远程执行命令。 |
更新时间: | 20230117 |
事件名称: | DNS_僵尸网络_Fodcha_连接 |
安全类型: | 其他事件 |
事件描述: | 检测到僵尸网络Fodcha试图向dns服务器请求解析其C&C服务器。源IP所在的主机可能被植入了Fodcha。Fodcha主要通过NDay漏洞和Telnet/SSH弱口令传播,包括CVE-2021-22205、CVE-2021-35394、AndroidADBDebugServerRCE、LILINDVRRCE等漏洞。每日上线境内肉鸡数以IP数计算已超过1万,且每日会针对超过100个攻击目标发起DDoS攻击,攻击非常活跃。Fodcha使用ChaCha20加密和C&C的通信数据。 |
更新时间: | 20230117 |
修改事件
事件名称: | HTTP_其它可疑行为_PHP伪协议 |
安全类型: | 可疑行为 |
事件描述: | 检测到源ip主机正在使用PHP的一些封装协议,如php://input,php://filter等提交一句话木马,或远程执行命令来攻击受害者服务器,从而获取目标系统权限。 |
更新时间: | 20230117 |
事件名称: | HTTP_安全漏洞_ToTolink_N600R路由器_Exportovpn_未授权命令注入 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正试图通过ToTolinkN600R路由器Exportovpn命令注入漏洞攻击目的IP主机。在ToTolinkN600R路由器的cstecgi.cgi文件中,exportovpn接口存在命令注入,攻击者可借此未验证远程执行恶意命令。 |
更新时间: | 20230117 |
事件名称: | HTTP_安全漏洞_若依CMS_远程命令执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 若依后台管理系统使用了snakeyaml的jar包,snakeyaml是用来解析yaml的格式,可用于Java对象的序列化、反序列化。由于若依后台计划任务处,对于传入的"调用目标字符串"没有任何校验,导致攻击者可以构造payload远程调用jar包,从而执行任意命令。 |
更新时间: | 20230117 |
京公网安备11010802024551号