每周升级布告-2022-11-08

颁布功夫 2022-11-08
新增事务

 

事务名称:::

HTTP_可疑行为_疑似接见恶意JNDI服务_JNDIExploit工具

安全类型:::

安全缝隙

事务描述:::

检测到疑似接见JNDIExploit工具天生的恶意JNDI服务地址,可能正在遭逢java反序列化攻击。。。

更新功夫:::

20221108

 

事务名称:::

TCP_提权攻击_Apache_Batik_代码执行[CVE-2022-40146]

安全类型:::

安全缝隙

事务描述:::

检测到源ip正在利用ApacheBatik全版本中存在的代码执行缝隙,从而获取指标主机的权限。。。Batik是一个基于Java的工具包,合用于但愿将可缩放矢量图形(SVG)体式的图像用于各类主张(例如显示、 、天生或操作)的利用法式或小法式。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_文件操作攻击_SiteServerCMS_文件下载[CVE-2022-36226]

安全类型:::

安全缝隙

事务描述:::

SiteServerCMS5.0版本存在一个远程模板文件下载缝隙。。。该缝隙是由于后盾模板下载地位未对用户权限进行校验,且ajaxOtherService中的downloadUrl参数可控,攻击者可利用该缝隙,远程植入webshell。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_提权攻击_ScriptEngineManager_SnakeYAML反序列化利用链_代码执行

安全类型:::

安全缝隙

事务描述:::

检测到源ip正在利用SnakeYAMLScriptEngineManager反序列化利用链进行攻击,从而获取指标系统权限。。。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)体式数据的类库,它提供了dump步骤能够将一个Java对象转为Yaml体式字符串,其load步骤也可能将Yaml字符串转为Java对象。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_提权攻击_JdbcRowSetImpl_SnakeYAML反序列化利用链_代码执行

安全类型:::

安全缝隙

事务描述:::

检测到源ip正在利用SnakeYAML的JdbcRowSetImpl反序列化利用链进行攻击,从而获取指标系统权限。。。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)体式数据的类库,它提供了dump步骤能够将一个Java对象转为Yaml体式字符串,其load步骤也可能将Yaml字符串转为Java对象。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_提权攻击_XBean_SnakeYAML反序列化利用链_代码执行

安全类型:::

安全缝隙

事务描述:::

检测到源ip正在利用XBean反序列化利用链进行攻击,从而获取指标系统权限。。。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)体式数据的类库,它提供了dump步骤能够将一个Java对象转为Yaml体式字符串,其load步骤也可能将Yaml字符串转为Java对象。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_提权攻击_JndiRefForwardingDataSource_SnakeYAML反序列化利用链_代码执行

安全类型:::

安全缝隙

事务描述:::

检测到源ip正在利用CP30JndiRefForwardingDataSource反序列化利用链进行攻击,从而获取指标系统权限。。。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)体式数据的类库,它提供了dump步骤能够将一个Java对象转为Yaml体式字符串,其load步骤也可能将Yaml字符串转为Java对象。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_提权攻击_WrapperConnectionPoolDataSource_SnakeYAML反序列化利用链_代码执行

安全类型:::

安全缝隙

事务描述:::

检测到源ip正在利用CP30WrapperConnectionPoolDataSource反序列化利用链进行攻击,从而获取指标系统权限。。。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)体式数据的类库,它提供了dump步骤能够将一个Java对象转为Yaml体式字符串,其load步骤也可能将Yaml字符串转为Java对象。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_提权攻击_Resource_SnakeYAML反序列化利用链_代码执行

安全类型:::

安全缝隙

事务描述:::

检测到源ip正在利用Resource反序列化利用链进行攻击,从而获取指标系统权限。。。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)体式数据的类库,它提供了dump步骤能够将一个Java对象转为Yaml体式字符串,其load步骤也可能将Yaml字符串转为Java对象。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_可疑行为_远程号令执行(通过参数传输)

安全类型:::

安全缝隙

事务描述:::

检测到源IP主机正在通过HTTP要求的参数向主张IP发送疑似带有远程号令执行关键字的要求。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_可疑行为_远程号令执行(通过参数传输)

安全类型:::

安全缝隙

事务描述:::

检测到源IP主机正在通过HTTP要求的参数向主张IP发送疑似带有远程号令执行关键字的要求。。。

更新功夫:::

20221108

 

批改事务

 

事务名称:::

HTTP_提权攻击_Oracle_WebLogic_反序列化_代码执行[CVE-2019-2725/CVE-2019-2729]

安全类型:::

安全缝隙

事务描述:::

此缝隙是由于利用在处置反序列化输入信息时存在缺点,攻击者能够通过发送精心机关的恶意HTTP要求,用于获得指标服务器的权限,并在未授权的情况下执行远程号令,最终获取服务器的权限。。。CVE-2019-2729是CVE-2019-2725的绕过。。。受影响版本为:::OracleWebLogicServer,versions10.3.6.0.0,12.1.3.0.0,12.2.1.3.0

更新功夫:::

20221108

 

事务名称:::

TCP_提权攻击_Jackson_Databind_反序列化_代码执行[CVE-2019-14379]

安全类型:::

安全缝隙

事务描述:::

Jackson是一个可能将java对象序列化为JSON字符串,也可能将JSON字符串反序列化为java对象的框架。。。攻击者可能利用jackson的可疑反序列化类ehcache攻击主张IP主机。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_提权攻击_Apache_Shiro_v1.7.1以下_权限绕过[CVE-2020-17523][CNNVD-202102-238]

安全类型:::

安全缝隙

事务描述:::

检测到源ip正在利用ApacheShiro1.7.1之前版本存在的权限绕过缝隙,从而在未授权的情况下绕过shiro的权限校验接见到敏感内容。。。ApacheShiro是一个壮大且易用的Java安全框架,它能够用来执行身份验证、 、授权、 、密码和会话治理。。。目前常见集成于各类利用中进行身份验证,授权等

更新功夫:::

20221108

 

事务名称:::

HTTP_安全审计_可疑UA

安全类型:::

安全审计

事务描述:::

检测到源IP地址的主机正在使用WEB扫描工具(如:::sqlmap、 、nessus等)对主张IP地址进行缝隙扫描。。。WEB扫描器通常是攻击者用来做服务扫描、 、缝隙测试等。。。通过缝隙扫描,能够自动急剧探测一些常见缝隙情况,当存在缝隙时便于后续进行利用攻击。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_木马后门_Win32.Zebrocy.Downloader(APT28)_衔接

安全类型:::

木马后门

事务描述:::

检测到Zebrocy试图衔接远程服务器。。。源IP地点的主机可能被植入了Zebrocy。。。Zebrocy是APT28组织使用的工具,蕴含3个组件。。。其中两个基于Delphi、 、AutoIT的下载者木马,另一个是基于Delphi的后门,本事务是针对下载者木马的检测。。。APT28是拥有俄罗斯布景的APT组织,也被称为Sofacy、 、FancyBear、 、Sednit、 、TsarTeam等。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_文件操作攻击_Coppermine_Photo_Gallery_目录遍历

安全类型:::

CGI攻击

事务描述:::

检测到源IP主机正在利用CopperminePhotoGallery中存在的目录遍历缝隙进行攻击的行为。。。CopperminePhotoGallery(CPG)是Coppermine团队开发的一套基于Web的相册治理系统。。。该系统提供用户治理、 、相册密码接见限度和自动天生缩略图等职能。。。CopperminePhotoGallery的1.5.44及之前版本的pic_editor.php存在目录遍历缝隙。。。该缝隙源于法式没有正确查抄用户的输入。。。远程攻击者可借助目录遍历字符‘../'、 、‘..%2f..%2f’利用该缝隙读取肆意文件。。。允许远程攻击者读取肆意文件

更新功夫:::

20221108

 

事务名称:::

TCP_提权攻击_WebLogic_Blind_XXE注入[CVE-2020-14820][CNNVD-202010-994]

安全类型:::

注入攻击

事务描述:::

检测到源IP主机正在利用WebLogicBlindXXE注入缝隙对主张主机进行攻击的行为,该缝隙重要影响Weblogic10.3.6.0.0Weblogic12.1.3.0.0Weblogic12.2.1.3.0Weblogic12.2.1.4.0Weblogic14.1.1.0.0版本,通过该缝隙,攻击者能够在未授权的情况下将payload封装在T3或IIOP和谈中,通过对和谈中的payload进行反序列化,从而实现对存在缝隙的WebLogic组件进行远程BlindXXE攻击。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_提权攻击_ThinkCMF_代码执行

安全类型:::

安全缝隙

事务描述:::

ThinkCMF是一款基于ThinkPHP+MySQL开发的开源中文内容治理框架。。。远程攻击者在无需任何权限情况下,可利用此缝隙机关恶意的url,向服务器写入肆意内容的文件,达到远程代码执行的主张。。。影响版本ThinkCMFX1.6.0,ThinkCMFX2.1.0,ThinkCMFX2.2.0,ThinkCMFX2.2.1,ThinkCMFX2.2.2,ThinkCMFX2.2.3。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_提权攻击_WebSVN_远程号令执行[CVE-2021-32305]

安全类型:::

安全缝隙

事务描述:::

检测到源ip正在通过WebSVN的search.php页面机关肆意号令进行攻击,从而下载恶意文件或执行恶意号令。。。WebSVN是一个基于Web的SubversionRepository浏览器,能够查看文件或文件夹的日志,查看文件的变动列表等。。。

更新功夫:::

20221108

 

事务名称:::

TCP_木马后门_Win32/Linux_ircBot_衔接

安全类型:::

其他事务

事务描述:::

检测到ircBot试图衔接远程服务器。。。源IP地点的主机可能被植入了ircBot。。。ircBot是基于irc和谈的僵尸网络,重要职能是对指定指标主机提议DDoS攻击。。。还能够下载其他病毒到被植入机械。。。对指定指标主机提议DDoS攻击。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_安全缝隙_ToTolink_N600R路由器_Exportovpn_未授权号令注入

安全类型:::

安全缝隙

事务描述:::

检测到源IP主机正试图通过ToTolinkN600R路由器Exportovpn号令注入缝隙攻击主张IP主机。。。在ToTolinkN600R路由器的cstecgi.cgi文件中,exportovpn接口存在号令注入,攻击者可借此未验证远程执行恶意号令。。。

更新功夫:::

20221108

 

事务名称:::

HTTP_安全缝隙_若依CMS_远程号令执行缝隙

安全类型:::

安全缝隙

事务描述:::

若依后盾治理系统使用了snakeyaml的jar包,snakeyaml是用来解析yaml的体式,可用于Java对象的序列化、 、反序列化。。。由于若依后盾打算工作处,对于传入的"挪用指标字符串"没有任何校验,导致攻击者能够机关payload远程挪用jar包,从而执行肆意号令。。。

更新功夫:::

20221108