每周升级公告-2023-03-28
发布时间 2023-03-28新增事件
事件名称: | HTTP_漏洞利用_信息泄露_MinIO[CVE-2023-28432] |
安全类型: | CGI攻击 |
事件描述: | MinIO 是一个基于Apache License v2.0开源协议的对象存储服务。它兼容亚马逊S3云存储服务接口,非常适合于存储大容量非结构化的数据,例如图片、视频、日志文件、备份数据和容器/虚拟机镜像等。 MinIO中存在一处信息泄露漏洞,由于Minio集群进行信息交换的9000端口,在未经配置的情况下通过发送特殊HPPT请求进行未授权访问,进而导致MinIO对象存储的相关环境变量泄露,如:MINIO_SECRET_KEY 和 MINIO_ROOT_PASSWORD 等所有环境变量信息。导致攻击者可以利用这些信息任意访问MinIO集群中的所有文件。使用官网仓库 docs/orchestration/docker-compose 启动的低版本集群默认受到该漏洞影响。 |
更新时间: | 20230328 |
事件名称: | HTTP_漏洞利用_文件上传_信呼oa小于2.3.2[CVE-2023-1501][CNNVD-202303-1481] |
安全类型: | 安全漏洞 |
事件描述: | RockOA 是一套开源的办公系统,适用于中小型企业的通用型协同 OA 管理软件,融合了长期从事管理软件开发的丰富经验与先进技术,该系统采用领先的 B/S (浏览器 / 服务器) 操作方式。攻击者可通过特定路由进行任意文件上传,造成getshell。 |
更新时间: | 20230328 |
事件名称: | HTTP_漏洞利用_反序列化_Fastjson_1.2.80 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用fastjsonJSON反序列化远程代码执行漏洞对目的主机进行攻击的行为,试图通过传入精心构造的恶意代码或命令来入侵目的IP主机。fastjson在1.2.83以及之前版本存在远程代码执行高危安全漏洞。开发者在使用fastjson时,如果编写不当,可能导致JSON反序列化远程代码执行漏洞。攻击者通过发送一个精心构造的JSON序列化恶意代码,当程序执行JSON反序列化的过程中执行恶意代码,从而导致远程代码执行。尝试进行恶意命令或代码注入,远程执行任意代码。 |
更新时间: | 20230328 |
事件名称: | HTTP_漏洞利用_文件上传_用友GRP-U8财务管理软件 |
安全类型: | 安全漏洞 |
事件描述: | 检测到当前主机正在遭受用友GRP-U8财务管理软件任意文件上传攻击,用友GRP-U8财务管理软件作为财务管理软件,作用于财务管理,是相对敏感的业务,由于对上传文件功能未进行充分安全考虑,导致攻击者能够通过上传恶意脚本实现对主机的控制,风险较大。 |
更新时间: | 20230328 |
事件名称: | HTTP_漏洞利用_文件上传_用友U8Cloud |
安全类型: | 安全漏洞 |
事件描述: | 检测到主机正在遭受用友U8Cloud_文件上传攻击,U8cloud是用友推出的新一代云ERP,由于对上传文件功能未进行充分安全考虑,导致攻击者能够通过上传恶意脚本实现对主机的控制,风险较大。 |
更新时间: | 20230328 |
事件名称: | HTTP_漏洞利用_未授权访问_Wavlink[CVE-2022-48165] |
安全类型: | 安全漏洞 |
事件描述: | 检测到主机正在遭受Wavlink_未授权访问攻击,WavlinkWL-WN530H4M30H4.V5030.210121的/cgi-bin/ExportLogs.sh组件中存在访问控制问题,允许未经认证的攻击者下载配置数据和日志文件并获得管理证书。 |
更新时间: | 20230328 |
事件名称: | HTTP_漏洞利用_未授权访问_Apache_AXIS_Services |
安全类型: | 安全漏洞 |
事件描述: | Apache Axis是美国阿帕奇(Apache)软件基金会的一个开源、基于XML的Web服务架构。该产品包含了Java和C++语言实现的SOAP服务器,以及各种公用服务及API,以生成和部署Web服务应用。漏洞本质是管理员对AdminService的配置错误。当相关接口未进行鉴权处理,攻击者可通过未授权访问到services的wsdl接口或通过默认口令访问到services的upload接口,并通过获取敏感接口文档信息或部署恶意服务进行后续攻击行为。 |
更新时间: | 20230328 |
事件名称: | HTTP_漏洞利用_文件读取_jetty[CVE-2021-28169] |
安全类型: | 安全漏洞 |
事件描述: | 检测到目标主机正在遭受jetty文件读取[CVE-2021-28169]攻击。JettyServlets中的ConcatServlet、WelcomeFilter类存在多重解码问题,当应用到这两个类之一时,攻击者就可以利用双重URL编码绕过限制来访问WEB-INF目录下的敏感文件,造成敏感信息泄露。 |
更新时间: | 20230328 |
事件名称: | HTTP_漏洞利用_文件上传_泛微OA_ajax.php |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用泛微OA存在的文件上传漏洞进行任意文件上传。攻击者可利用该漏洞上传恶意文件,获取目标系统权限。 |
更新时间: | 20230328 |
事件名称: | HTTP_命令控制_C2通信_BruteRatelC4.badger_心跳_成功 |
安全类型: | 木马后门 |
事件描述: | 检测到黑客工具BruteRatelC4(以下简称BRC4)生成的后门badger尝试连接远程服务器。源IP所在主机可能被植入了BruteRatelC4.badger。BruteRatelC4(以下简称BRC4)用以替代因使用广泛而被安全公司重点防范的CobaltStrike框架。BRC4使用了众多用于规避和检测EDR的技术,其外部C2核心通信逻辑是将有效负载输出隐藏在合法网络流量中。 |
更新时间: | 20230328 |
事件名称: | HTTP_漏洞利用_代码执行_蓝凌OA_datajson.js |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用蓝凌OA远程代码执行漏洞攻击目的IP主机的行为。深圳市蓝凌软件股份有限公司数字OA(EKP)存在远程代码执行漏洞。攻击者可通过datajson.js,在目标服务器上执行任意代码。 |
更新时间: | 20230328 |
修改事件
事件名称: | TCP_漏洞利用_代码执行_Weblogic_T3协议[CVE-2019-2890] |
安全类型: | 安全漏洞 |
事件描述: | OracleWebLogicServer是一个统一的可扩展平台,用于在本地和云端开发、部署和运行企业应用程序,例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)和JakartaEE的可靠、成熟和可扩展的实现。CVE-2019-2890漏洞可以使用PersistentContext类绕过补丁,通过反序列化触发rmi过程中不安全的jrmp方法,允许未经身份验证的远程攻击者通过T3协议网络访问并破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致OracleWebLogic服务器被接管或敏感信息泄露。影响范围:-Weblogic10.3.6.0.0-Weblogic12.1.3.0.0-Weblogic12.2.1.3.0 |
更新时间: | 20230328 |
事件名称: | TCP_漏洞利用_命令执行_Exim[CVE-2019-10149] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用Exim的远程代码执行漏洞攻击目的IP主机的行为。该漏洞影响Exim4.87~4.91版本,在4.87版本之前如果手动启用了EXPERIMENTAL_EVENT选项,服务器也会存在漏洞,该漏洞在默认配置下可被本地攻击者直接利用,通过低权限用户执行root权限命令,远程攻击者需要修改默认配置。为了在默认配置下远程利用该漏洞,远程攻击者需要与存在漏洞的服务器建立7天的连接(每隔几分钟发送1个字节)。 |
更新时间: | 20230328 |
事件名称: | HTTP_漏洞利用_代码执行_Spring_Boot_H2database_console |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用h2console的默认路由设置为外部恶意jndi服务器地址。H2Database是一个开源的嵌入式数据库引擎,采用java语言编写,不受平台的限制,同时H2Database提供了一个十分方便的web控制台用于操作和管理数据库内容。H2Database还提供兼容模式,可以兼容一些主流的数据库,因此采用H2Database作为开发期的数据库非常方便。 |
更新时间: | 20230328 |
事件名称: | HTTP_漏洞利用_代码执行_Ruby_conversions.rb_Ruby[CVE-2013-0156] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在向目的主机上的Ruby构造恶意的XML外部实体注入代码进行攻击;RubyonRails是一个可以使开发、部署、维护web应用程序变得简单的框架。 |
更新时间: | 20230328 |
事件名称: | HTTP_漏洞利用_代码执行_Kibana[CVE-2019-7609] |
安全类型: | 安全漏洞 |
事件描述: | Kibana是为Elasticsearch设计的开源分析和可视化平台。可以使用Kibana来搜索,查看存储在Elasticsearch索引中的数据并与之交互。可以很容易实现高级的数据分析和可视化,以图标的形式展现出来。攻击者利用漏洞可以通过Timelion组件中的JavaScript原型链污染攻击,向Kibana发起相关请求,从而接管所在服务器,在服务器上执行任意命令,漏洞影响范围包括Kibana<6.6.1、Kibana<5.6.15。 |
更新时间: | 20230328 |
京公网安备11010802024551号