每周升级公告-2023-05-16

发布时间 2023-05-16

新增事件

事件名称:

TCP_漏洞利用_反序列化_Oracle_Weblogic_T3协议[CVE-2020-2883]

安全类型:

安全漏洞

事件描述:

OracleWebLogicServer是一个统一的可扩展平台,用于在本地和云端开发、部署和运行企业应用程序,例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)和JakartaEE的可靠、成熟和可扩展的实现。CVE-2020-2555漏洞可以通过反序列化触发Extractor中不安全的extract方法,允许未经身份验证的远程攻击者通过T3协议网络访问并破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致OracleWebLogic服务器被接管或敏感信息泄露。影响范围:OracleCoherence10.3.6.0.0OracleCoherence12.1.3.0.0OracleCoherence12.2.1.3.0OracleCoherence12.2.1.4.0

更新时间:

20230516

 

事件名称:

HTTP_漏洞利用_信息泄露_YONYOUNFIDA

安全类型:

CGI攻击

事件描述:

ufida信息泄露漏洞攻击尝试

更新时间:

20230516

 

事件名称:

DNS_可疑行为_隧道代理工具_nat123尝试转发

安全类型:

可疑行为

事件描述:

nat123是一个内网端口映射软件,在内网启动映射后,可在外网轻松访问连接内网网站等应用,实现内网穿透。

常被网站开发测试人员或攻击者使用。

更新时间:

20230516

 

事件名称:

HTTP_安全风险_可疑行为_SNETCracker_返回主机信息/请求更新

安全类型:

可疑行为

事件描述:

SNETCracker(超级弱口令)超是一款Windows平台的弱口令审计工具,支持批量多线程检查,可快速发现弱密码、弱口令账号,密码支持和用户名结合进行检查,大大提高成功率,支持自定义服务端口和字典。

更新时间:

20230516

 

事件名称:

HTTP_木马_Win_Lokibot_LokiPWS_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器,源IP所在的主机可能被植入了木马Lokibot_LokiPWS密码窃取器。LokiPWS是一个窃密木马,会将受害者主机上存储的密码、浏览器登陆凭证、加密货币钱包等信息上传到远程服务器。

更新时间:

20230516

 

事件名称:

TCP_审计事件_SMTP_未开启客户端授权访问被拒绝

安全类型:

安全漏洞

事件描述:

检测到smtp协议503错误返回,当smtp协议使用时,没有进行身份验证或身份验证不正确时会出现503错误。

更新时间:

20230516

 

修改事件

 

事件名称:

TCP_Oracle_WebLogic_反序列化漏洞[CVE-2020-2883][CVE-2020-14645][CVE-2020-14841][CVE-2020-14825][CVE-2020-14825/CVE-2020-2883/CVE-2020-14645/CVE-2020-14841]

安全类型:

安全漏洞

事件描述:

检测到源ip正在利用10.3.6.0.0、12.1.3.0.0、12.2.1.3.0、12.2.1.4.0和14.1.1.0.0版本的weblogic中存在的反序列化漏洞,从而获取目标系统的权限。

更新时间:

20230516

 

事件名称:

HTTP_注入攻击_Sinapsi_eSolar_Light_Photovoltaic_System_Monitor_SQL注入[CVE-2012-5861]

安全类型:

注入攻击

事件描述:

检测到源IP主机正试图通过SinapsieSolarLightPhotovoltaicSystemMonitorSQL注入漏洞攻击目的IP主机。SinapsieSolarLight是太阳能应用内使用的监控系统。SinapsieSolar,SinapsieSolarDUO固件2.0.2870_2.2.12之前版本中存在多个SQL注入漏洞。远程攻击者利用该漏洞通过(1)primo操作中的‘inverterselect’参数传送到dettagliinverter.php脚本或(2)‘lingua’参数传送到changelanguagesession.php脚本,执行任意SQL命令。攻击者可获得敏感信息或操作数据库。

更新时间:

20230516

 

事件名称:

HTTP_信息泄露_Atlassian-Jira[CVE-2019-8449]

安全类型:

CGI攻击

事件描述:

检测到源IP主机正试图通过HTTP_Atlassian-Jira_信息泄露[CVE-2019-8449]漏洞攻击目的IP主机。AtlassianJira8.4.0之前版本/rest/api/latest/groupuserpicker接口允许未授权查询员工信息,攻击者可以通过爆破用户名名单等方法获取用户信息未授权的攻击者可利用漏洞获取受影响组件敏感信息。

更新时间:

20230516

 

事件名称:

HTTP_提权攻击_Linux可疑命令执行攻击

安全类型:

安全漏洞

事件描述:

命令注入攻击,是指这样一种攻击手段,黑客通过把系统命令加入到web请求页面头部信息中,一个恶意黑客以利用这种攻击方法来非法获取数据或者网络、系统资源。null

更新时间:

20230516

 

事件名称:

HTTP_命令与控制_远控后门_FiveSys_连接C2服务器

安全类型:

木马后门

事件描述:

检测到FiveSys木马后门试图连接远程服务器。FiveSys木马主要功能是将使用者流量导引到特定恶意代理服务器;FiveSys目的是在用户连接线上游戏时,将用户流量导向代理服务器时,借此拦截、窃取用户帐密等验证信息。

更新时间:

20230516

 

事件名称:

HTTP_命令控制_远控后门_Agentb_连接C2服务器

安全类型:

木马后门

事件描述:

检测到Agentb木马后门试图连接远程服务器。Agentb会收集受害主机基本信息,并存在将受害主机控制成为代理服务器的可能。

更新时间:

20230516