每周升级通告-2022-07-05

宣布时间 2022-07-05

新增事


事务名称:

HTTP_清静误差_fastjson_1.2.60_反序列化远程代码执行误差

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用fastjsonJSON反序列化远程代码执行误差对目的主机举行攻击的行为,试图通过传入全心结构的恶意代码或下令来入侵目的IP主机。FastJson是阿里巴巴的开源JSON剖析库,它可以剖析JSON名堂的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用规模很广。攻击乐成,可远程执行恣意代码。

更新时间:

20220705

 

事务名称:

HTTP_清静误差_fastjson_1.2.67_反序列化远程代码执行误差

清静类型:

清静误差

事务形貌:

Fastjson是一个Java库,可以将Java工具转换为JSON名堂,fastjson保存远程代码执行高危清静误差。攻击者通过发送一个全心结构的JSON序列化恶意代码,当程序执行JSON反序列化的历程中执行恶意代码,从而导致远程代码执行。

更新时间:

20220705

 

事务名称:

TCP_木马_BeamMiner_挖矿乐成(BEAM)

清静类型:

蠕虫病毒

事务形貌:

检测到矿机向矿池提交挖矿效果的行为。源IP所在的主机可能被植入了BeamMiner挖矿木马。BeamMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。Beam是基于MimbleWimble协议开发的加密钱币,具有强隐私性、替换性和扩展性。Beam所有生意都默认是私密的。新节点加入网络无需同步整个生意历史,可以请求同步只包括系统状态的压缩历史纪录和区块头,从而实现快速同步。

更新时间:

20220705


事务名称:

TCP_后门_Win32.WarZoneRat_毗连(扫描)

清静类型:

清静扫描

事务形貌:

检测到源IP主机在对目的IP主机举行扫描。WarZoneRat是一个功效强盛的远控,运行后可完全控制被植入机械。本事务报警不是真实攻击,仅仅意味着源IP主机在对目的IP主机举行扫描。源IP一样平常属于Shodan扫描主机,目的IP是客户主机。源IP主机模拟WarZoneRat样本向目的IP主机发送上线报文,若是收到期望的返回数据,即以为目的IP主机上运行着Gh0st控制端,是WarZoneRatC&C服务。Shodan就是通过这种扫描来获取恶意软件的C&C服务器,除Shodan外,其它一些威胁情报公司的IP主机也在举行着这种扫描。

更新时间:

20220705


事务名称:

HTTP_清静误差_WordPress-3DPrint-Lite_恣意文件上传

清静类型:

清静误差

事务形貌:

WordPress3DPrintLiteVersion1.9.1.4版本中的3dprint-lite-functions.php文件保存文件上传误差,攻击者通过结构请求包可以上传恣意文件获取服务器权限。

更新时间:

20220705


事务名称:

HTTP_清静误差_Webmin_远程下令执行误差[CVE-2019-12840][CNNVD-201906-632]

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用Webmin1.910和更早版本中的update.cgi允许远程经由身份验证的用户执行恣意下令。Webmin是功效最强盛的基于WebUnix系统管理工具。管理员通过浏览器会见Webmin的种种管理功效并完成响应的管理行动。

更新时间:

20220705


事务名称:

TCP_Java反序列化_CommonsCollections11_使用链攻击

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用CommonsCollections11Java反序列化使用链对目的主机举行攻击的行为。若会见的应用保存误差JAVA反序列化误差且使用了CommonsCollections3.1-3.2.1,攻击者可以发送全心结构的Java序列化工具,远程执行恣意代码或下令。远程执行恣意代码,获取系统控制权。

更新时间:

20220705


事务名称:

TCP_可疑行为_URLClassLoader远程加载恶意类

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用URLClassLoaderJava远程加载恶意类对目的主机举行攻击的行为。攻击者可以发送全心结构的Javapayload,远程加载恶意类执行恣意代码或下令。远程执行恣意代码,获取系统控制权。

更新时间:

20220705


事务名称:

TCP_可疑行为_JNDI远程加载恶意类

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用JNDIlookup要领远程加载恶意类对目的主机举行攻击的行为。攻击者可以发送全心结构的Javapayload,远程加载恶意类执行恣意代码或下令。远程执行恣意代码,获取系统控制权。

更新时间:

20220705


事务名称:

TCP_可疑行为_Shiro_JNDI远程加载恶意类

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用ShiroJNDIlookup要领远程加载恶意类对目的主机举行攻击的行为。攻击者可以发送全心结构的Javapayload,远程加载恶意类执行恣意代码或下令。远程执行恣意代码,获取系统控制权。

更新时间:

20220705


事务名称:

HTTP_清静误差_万户OA_fileUpload.controller_恣意文件上传误差

清静类型:

清静误差

事务形貌:

万户OA保存一个恣意文件上传误差,攻击者可以通过fileUpload.controller接口上传恶意文件。

更新时间:

20220705


事务名称:

HTTP_清静误差_通达OA_update.php_文件包括误差

清静类型:

清静误差

事务形貌:

通达OAv11.8以下的版本保存一个文件包括误差。攻击者可以通过使用PHP.user.ini文件来包括其他恶意文件绕过通达OA的文件上传限制。

更新时间:

20220705


事务名称:

HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2020-14060][CNNVD-202006-997]

清静类型:

清静误差

事务形貌:

FasterXMLjackson-databind2.x,2.9.10.5版本之前的oadd.org.apache.xalan.lib.sql.JNDIConnectionPool过失地处置惩罚了与oadd相关的序列化gadgets和输入之间的交互

更新时间:

20220705


事务名称:

HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2020-14062][CNNVD-202006-996]

清静类型:

清静误差

事务形貌:

FasterXMLjackson-databind2.x,2.9.10.5版本之前的com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool过失地处置惩罚了与oadd相关的序列化gadgets和输入之间的交互

更新时间:

20220705


事务名称:

HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2020-14195][CNNVD-202006-1070]

清静类型:

清静误差

事务形貌:

FasterXMLjackson-databind2.x,2.9.10.5版本之前的org.jsecurity.realm.jndi.JndiRealmFactory过失地处置惩罚了与oadd相关的序列化gadgets和输入之间的交互

更新时间:

20220705


事务名称:

HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2020-24750][CNNVD-202009-1066]

清静类型:

清静误差

事务形貌:

FasterXMLjackson-databind2.x,2.9.10.5版本之前的com.pastdev.httpcomponents.configuration.JndiConfiguration过失地处置惩罚了与oadd相关的序列化gadgets和输入之间的交互

更新时间:

20220705


事务名称:

HTTP_清静事务_GitLab_远程下令执行[CVE-2018-19571][CVE-2018-19585]

清静类型:

清静误差

事务形貌:

GitLab是一个用于客栈管理系统的开源项目,其使用Git作为代码管理工具,可通过Web界面会见果真或私人项目。在11.4.7版本之前,该项目保存远程代码执行误差,攻击者可结构恶意payload以获取服务器权限。

更新时间:

20220705


事务名称:

HTTP_清静误差_Mitel_MiVoice_Connect_远程代码执行[CVE-2022-29499][CNNVD-202204-4387]

清静类型:

清静误差

事务形貌:

检测到目的ip为攻击者ip,通过源ip保存数据验证不准确的误差,可以通过vtest.phpget_url参数举行外地文件使用,从而使得源ip向目的ip(攻击者)发送敏感信息,或反弹shell,导致进一步攻击。MitelMiVoiceConnect是加拿大MitelNetworks公司的一款用于集中管理MitelNetworks的呼叫处置惩罚和协作工具的软件。

更新时间:

20220705


事务名称:

HTTP_小鱼易连视频系统_LUA剧本设置过失_远程下令执行

清静类型:

清静误差

事务形貌:

小鱼易连视频聚会系统LUA剧本权限分派不当,导致恣意用户可使用root权限执行下令,攻击者使用此误差可完全获取系统权限。

更新时间:

20220705


事务名称:

HTTP_清静误差_中远麒麟_iAudit堡垒机_get_luser_by_sshport.php_远程下令执行误差

清静类型:

清静误差

事务形貌:

中远麒麟iAudit堡垒机get_luser_by_sshport.php文件保存下令拼接,攻击者通过误差可获取服务器权限。

更新时间:

20220705


事务名称:

HTTP_清静误差_天融信_TopApp-LB_enable_tool_debug.php_远程下令执行误差

清静类型:

清静误差

事务形貌:

天融信TopSec-LBenable_tool_debug.php文件保存远程下令执行误差,通过下令拼接攻击者可以执行恣意下令。

更新时间:

20220705


事务名称:

HTTP_清静误差_深信服应用交付管理系统_sys_user.conf_账号密码走漏

清静类型:

CGI攻击

事务形貌:

深信服应用交付管理系统文件sys_user.conf可在未授权的情形下直接会见,导致账号密码走漏。

更新时间:

20220705


事务名称:

HTTP_清静误差_深信服应用交付报表系统_download.php_恣意文件读取误差

清静类型:

清静误差

事务形貌:

深信服应用交付报表系统download.php文件保存恣意文件读取误差,攻击者通过误差可以下载服务器恣意文件。

更新时间:

20220705


事务名称:

HTTP_清静误差_深信服应用交付报表系统_login.php_下令注入误差

清静类型:

清静误差

事务形貌:

深信服应用交付报表系统(4.5以下版本)保存一个下令注入误差,该误差源于对传入的userPswuserID过滤不严谨导致,允许远程攻击者使用特制请求执行恣意下令。

更新时间:

20220705


事务名称:

HTTP_清静误差_绿盟UTS综合威胁探针_信息泄露

清静类型:

CGI攻击

事务形貌:

绿盟UTS综合威胁探针某个接口未做授权导致未授权会见,其中包括部分账号密码信息,攻击者可使用来举行登录绕过。

更新时间:

20220705


事务名称:

DNS_可疑行为_GotoHTTP远程毗连工具使用

清静类型:

可疑行为

事务形貌:

Gotohttp是一款远程桌面工具,可能为黑客正在使用。

更新时间:

20220705


事务名称:

HTTP_清静误差_Microsoft_Exchange_Server_远程代码执行误差[CVE-2020-16875][CNNVD-202009-374]

清静类型:

清静误差

事务形貌:

由于对cmdlet参数的验证不准确,MicrosoftExchange服务器中保存远程执行代码误差。乐成使用此误差的攻击者可以在系统用户的上下文中运行恣意代码。使用此误差需要已通过身份验证的用户具有受到威胁的特定Exchange角色。此清静更新通过更正MicrosoftExchange处置惩罚cmdlet参数的方法来修复此误差。

更新时间:

20220705


事务名称:

HTTP_清静误差_CMS-Discuz:X_uc_center后台代码执行

清静类型:

清静误差

事务形貌:

Discuz!ML系统中,通事后台修改Ucenter数据库毗连信息,可将恶意代码写入config/config_ucenter.php文件中,导致代码执行。

更新时间:

20220705


事务名称:

HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2019-14540][CNNVD-201909-716]

清静类型:

清静误差

事务形貌:

Jackson是目今用的较量普遍的,用来序列化和反序列化jsonJava开源框架。在2.9.10之前的FasterXMLjackson-databind中由于com.zaxxer.hikari.HikariConfig处置惩罚数据问题,保存反序列化误差

更新时间:

20220705


事务名称:

HTTP_清静误差_CMS_Discuz!X3.4_恣意文件删除配合install历程getshell

清静类型:

清静误差

事务形貌:

Discuz!ML系统装置后未上岸后台时,可使用文件删除误差删掉install.lock文件,绕过对装置完成的判断能够再举行装置的历程,然后将恶意代码写入设置文件中从而执行恣意代码。

更新时间:

20220705


事务名称:

HTTP_清静误差_Eyoucms_1.4.3_恣意文件写入

清静类型:

清静误差

事务形貌:

EyouCms是基于TP5.0框架为焦点开发的免费+开源的企业内容管理系统,专注企业建站用户需求提供海量各行业模板。在1.4.3版本以前,该系统中保存恣意文件写入误差,攻击者可结构恶意payload举行文件写入操作。

更新时间:

20220705


事务名称:

HTTP_木马后门_Covenant_心跳包_毗连C2服务器

清静类型:

木马后门

事务形貌:

Covenant是一个.NET开发的C2(commandandcontrol)框架,使用.NETCore的开发情形,不但支持Linux,MacOSWindows,还支持docker容器。Covenant支持动态编译,能够将输入的C#代码上传至C2Server,获得编译后的文件并使用Assembly.Load()从内存举行加载。该事务批注,Covenant的天生物Grunts正在使专心跳报文与C2服务器坚持毗连。

更新时间:

20220705


修改事务

 

事务名称:

HTTP_清静误差_fastjson_1.2.47_反序列化远程代码执行误差

清静类型:

清静误差

事务形貌:

Fastjson是一个Java库,可以将Java工具转换为JSON名堂,fastjson1.2.47以及之前版本保存远程代码执行高危清静误差。攻击者通过发送一个全心结构的JSON序列化恶意代码,当程序执行JSON反序列化的历程中执行恶意代码,从而导致远程代码执行。

更新时间:

20220705


事务名称:

HTTP_可疑行为_fastjson_反序列化加载BCEL

清静类型:

清静误差

事务形貌:

Fastjson是一个Java库,可以将Java工具转换为JSON名堂,fastjson1.2.24以及之前版本保存远程代码执行高危清静误差。攻击者通过发送一个全心结构的JSON序列化恶意代码,当程序执行JSON反序列化的历程中执行恶意代码,从而导致远程代码执行。

更新时间:

20220705


事务名称:

TCP_后门_Linux.DDoS.Gafgyt_控制下令

清静类型:

其他事务

事务形貌:

检测到Gafgyt服务器试图发送下令给Gafgyt,目的IP主机被植入了Gafgyt。DDoS.Gafgyt是一个类Linux平台下的僵尸网络,主要功效是对指定目的机械提倡DDoS攻击。对指定目的主机提倡DDoS攻击。

更新时间:

20220705


事务名称:

HTTP_清静误差_fastjson_1.2.45_反序列化远程代码执行误差[CVE-2017-18349]

清静类型:

清静误差

事务形貌:

Fastjson是一个Java库,可以将Java工具转换为JSON名堂,fastjson1.2.24以及之前版本保存远程代码执行高危清静误差。攻击者通过发送一个全心结构的JSON序列化恶意代码,当程序执行JSON反序列化的历程中执行恶意代码,从而导致远程代码执行。

更新时间:

20220705


事务名称:

HTTP_清静误差_fastjson_1.2.62_反序列化远程代码执行误差

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用fastjsonJSON反序列化远程代码执行误差对目的IP主机举行攻击的行为,试图通过传入全心结构的恶意代码或下令来入侵目的IP主机。FastJson是阿里巴巴的开源JSON剖析库,它可以剖析JSON名堂的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用规模很广。攻击乐成,可远程执行恣意代码。

更新时间:

20220705


事务名称:

HTTP_通用_目录穿越误差[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]

清静类型:

清静误差

事务形貌:

检测到源IP主机正在实验对目的IP主机举行目录穿越误差攻击实验的行为。目录穿越误差能使攻击者绕过Web服务器的会见限制,对web根目录以外的文件夹,恣意地读取甚至写入文件数据。此规则是一条通用规则,其他误差(甚至一些0day误差)攻击的payload也有可能触发此事务报警。由于正常营业中一样平常不会爆发此事务特征的流量,以是需要重点关注。允许远程攻击者会见敏感文件。

更新时间:

20220705


事务名称:

HTTP_通达OA_恣意文件上传/文件包括误差

清静类型:

清静误差

事务形貌:

通达OA是一套办公系统。由于通达OA中保存的两枚误差(文件上传误差,文件包括误差),攻击者可通过这两枚误差实现远程下令执行。/ispirit/im/upload.php保存绕过登录(恣意文件上传误差),团结gateway.php处保存的文件包括误差,最终导致getshell。

更新时间:

20220705


事务名称:

HTTP_可疑行为_Fastjson_dnslog探测

清静类型:

清静审计

事务形貌:

检测到源ip正在使用dnslog探测主机后端是否是fastjson

更新时间:

20220705


事务名称:

HTTP_可疑行为_Fastjson误差_编码使用

清静类型:

可疑行为

事务形貌:

FastJson是阿里巴巴的开源JSON剖析库,它可以剖析JSON名堂的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean,由于具有执行效率高的特点,应用规模很广。攻击乐成,可远程执行恣意代码。fastjson可接受并剖析hex编码内容,因此攻击者可使用hex编码绕过检测装备。

更新时间:

20220705


事务名称:

TCP_僵尸网络_BlackMoon_毗连

清静类型:

其他事务

事务形貌:

检测到BlackMoon远控试图毗连远程服务器,源IP所在的主机可能被植入了僵尸网络BlackMoon。BlackMoon主要功效是对指定目的提倡DDoS攻击,通过关联剖析发明,该BlackMoon僵尸网络撒播方法之一是借助独狼(Rovnix)僵尸网络举行撒播。独狼僵尸网络通过带毒激活工具(狂风激活、小马激活、KMS等)举行撒播,常被用来推广病毒和流氓软件。

更新时间:

20220705