每周升级公告-2023-05-23

发布时间 2023-05-23

新增事件

 

事件名称:

HTTP_注入攻击_Sinapsi_eSolar_Light_Photovoltaic_System_Monitor_SQL注入[CVE-2012-5861][CNNVD-201211-425]

安全类型:

注入攻击

事件描述:

检测到源IP主机正试图通过SinapsieSolarLightPhotovoltaicSystemMonitorSQL注入漏洞攻击目的IP主机。SinapsieSolarLight是太阳能应用内使用的监控系统。SinapsieSolar,SinapsieSolarDUO固件2.0.2870_2.2.12之前版本中存在多个SQL注入漏洞。远程攻击者利用该漏洞通过(1)primo操作中的‘inverterselect’参数传送到dettagliinverter.php脚本或(2)‘lingua’参数传送到changelanguagesession.php脚本,执行任意SQL命令。攻击者可获得敏感信息或操作数据库。

更新时间:

20230523


事件名称:

HTTP_漏洞利用_文件上传_EOFFICEV9.5_uploadify

安全类型:

安全漏洞

事件描述:

泛微 eofficev9.5存在文件上传漏洞

更新时间:

20230523

 

事件名称:

HTTP_可疑行为_反序列化_YONYOUNC65_NCMessageServlet

安全类型:

安全漏洞

事件描述:

用友NC6.5 NCMessageServlet 存在反序列化漏洞

更新时间:

20230523

 

事件名称:

HTTP_安全漏洞_Drupal-8.x_RCE[CVE-2018-7600][CNNVD-201803-1136]

安全类型:

安全漏洞

事件描述:

Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。Drupalv8.x中<v8.3.9/v8.4.x<v8.4.6/v8.5.x<v8.5.1版本存在漏洞CVE-2018-7600,该漏洞会导致攻击者在主机上进行任意命令执行。

更新时间:

20230523

 

事件名称:

DNS_命令控制_远控后门_Floxif_域名解析请求

安全类型:

木马后门

事件描述:

Floxif是一种由来已久的感染型病毒,该病毒会暴力感染受害者机器上的exe以及dll文件来传播自身。

更新时间:

20230523

 

事件名称:

DNS_命令控制_远控后门_MalSpam_域名解析请求

安全类型:

木马后门

事件描述:

检测到MalSpam木马域名解析请求。

更新时间:

20230523

 

事件名称:

DNS_命令控制_木马后门_Tofsee_域名解析请求

安全类型:

木马后门

事件描述:

Tofsee(也称为Gheg)是一种恶意软件家族,属于僵尸网络(botnet)和垃圾邮件(spam)传播工具。它通常通过垃圾邮件附件、恶意下载或者漏洞利用等方式传播,并将受感染的计算机加入一个控制节点网络,用于执行各种恶意活动,如发送垃圾邮件、传播其他恶意软件、进行网络钓鱼等.

更新时间:

20230523

 

事件名称:

HTTP_命令控制_木马后门_Fareit_上传主机敏感信息

安全类型:

木马后门

事件描述:

Fareit(也称为Pony)是一种恶意软件家族,属于信息窃取木马(Trojan)类别。它通常通过恶意下载、漏洞利用、垃圾邮件等方式传播,并在受感染的计算机上执行恶意活动,包括窃取敏感信息、登录凭据、银行账户信息等。

更新时间:

20230523

 

事件名称:

HTTP_漏洞利用_权限绕过_Dahua_摄像头[CVE-2021-33044][CNNVD-202109-1080]

安全类型:

安全漏洞

事件描述:

大华部分产品在登陆过程中存在身份验证绕过漏洞,攻击者在不需要权限的情况下,通过构造恶意报文即可绕过设备身份验证,获取管理员权限。

更新时间:

20230523

 

事件名称:

HTTP_漏洞利用_命令执行_Smartbi_远程命令执行

安全类型:

安全漏洞

事件描述:

检测到主机正在遭受Smartbi远程命令执行攻击。Smartbi中未经身份认证的远程攻击者可利用stub接口构造请求绕过补丁限制,进而控制JDBCURL,造成远程代码执行或信息泄露。

更新时间:

20230523

 

事件名称:

HTTP_漏洞利用_命令执行_D-Link_apply_sec.cgi[CVE-2019-16920][CNNVD-201909-1326]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用目的主机D-Link产品(如DIR-655C、DIR-866L、DIR-652和DHP-1565)中apply_sec.cgi处命令注入漏洞,攻击者可以利用该漏洞将任意字符串发送到“PingTest”网关接口来实现命令注入。

更新时间:

20230523

 

事件名称:

HTTP_漏洞利用_文件上传_UEDITOR组件利用

安全类型:

安全漏洞

事件描述:

UEDITOR 抓取远程数据源的时候未对文件后缀名进行验证,导致了任意文件的写入漏洞。ueditor版本<1.4.3漏洞利用

更新时间:

20230523

 

事件名称:

HTTP_漏洞利用_反序列化_GoAnywhereMFT反序列化漏洞[CVE-2023-0669][CVE-2023-0669][CNNVD-202302-398]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正试图通过GoAnywhereMFT反序列化漏洞攻击目的IP主机。GoAnywhereMFT管理端存在反序列化漏洞,攻击者利用该漏洞无需登录便可以远程执行任意命令。

更新时间:

20230523

 

事件名称:

HTTP_漏洞利用_权限绕过_Dahua_摄像头[CVE-2021-33044][CNNVD-202109-1080]

安全类型:

安全漏洞

事件描述:

大华部分产品在登陆过程中存在身份验证绕过漏洞,攻击者在不需要权限的情况下,通过构造恶意报文即可绕过设备身份验证,获取管理员权限。

更新时间:

20230523

 

事件名称:

HTTP_漏洞利用_信息泄露_nginx监控页面

安全类型:

CGI攻击

事件描述:

检测到源IP主机正在探测目的ip主机中的nginx监控页面,可以通过访问该页面来查看服务器运行状态。

更新时间:

20230523

 

修改事件

 

事件名称:

HTTP_僵尸网络_Andromeda_连接

安全类型:

木马后门

事件描述:

检测到僵尸网络Andromeda试图连接远程服务器,源IP所在的主机可能被植入了Andromeda。Andromeda是一个模块化的僵尸网络,最原始的文件仅包含一个加载器。运行期间,会从C&C服务器下载各类模块,同时也具有反虚拟机和反调试的功能。

更新时间:

20230523

 

事件名称:

FTP_木马_AgentTesla_Keylogger_连接

安全类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了AgentTesla Keylogger。

AgentTesla Keylogger是一个功能强大的窃密木马,可窃取包括浏览器、邮件、FTP、剪贴板等客户端保存的账号密码。还可以截取屏幕并上传。

窃取敏感数据。

更新时间:

20230523