每周升级公告-2021-11-23
发布时间 2021-12-10新增事件
事件名称: | HTTP_安全漏洞_F5_BIG_IP_TMM_缓冲区溢出漏洞[CVE-2021-22991][CNNVD-202103-784] |
安全类型: | 命令执行 |
事件描述: | F5BIG-IP是美国F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡、DDoS防御等功能的应用交付平台。F5BIG-IP存在安全漏洞,流量管理微内核(TrafficManagementMicrokernel,TMM)URI的规范化可能会错误地处理对虚拟服务器的请求,从而触发缓冲区溢出,导致拒绝服务攻击。在一定条件下,可能绕过基于URL的访问控制,造成远程命令执行。该漏洞通过构建类似HTTP的请求触发命令执行。 |
更新时间: | 20211123 |
事件名称: | HTTP_通用_XSS平台恶意代码植入 |
安全类型: | 其他注入 |
事件描述: | 检测到目的IP主机页面被植入XSS平台的恶意html代码。XSS又叫CSS(CrossSiteScript),跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的,如获取敏感信息。XSS平台则是用来泛指接收恶意XSS攻击获取的敏感信息的一种平台,一般具有模块化的XSSpayload,通过将其植入用户浏览器,控制受害者浏览器向平台发送敏感信息并记录。 |
更新时间: | 20211123 |
事件名称: | HTTP_安全漏洞_Apache_Solr<=8.8.2_任意文件删除漏洞 |
安全类型: | 其他攻击利用 |
事件描述: | 检测到攻击者正在利用ApacheSolr<=8.8.2任意文件删除漏洞。攻击者可利用此漏洞构造恶意的requesthandler,访问特定url后可触发删除受害IP主机上的任意指定文件。 |
更新时间: | 20211123 |
事件名称: | HTTP_安全漏洞_VoIPmonitor_远程命令执行漏洞[CVE-2021-30461][CNNVD-202105-1992] |
安全类型: | 命令执行 |
事件描述: | VoIPmonitor是“具有在Linux上运行的SIPRTP和RTCPVoIP协议的具有商业前端的开源网络数据包嗅探器”。VoIPmonitorWeb界面,允许未经身份验证的远程用户触发VoIPmonitor中的远程PHP代码执行漏洞。 |
更新时间: | 20211123 |
事件名称: | HTTP_安全漏洞_Workreap_文件上传漏洞[CVE-2021-24499] |
安全类型: | 文件上传 |
事件描述: | AmentotechWorkreap<2.2.2版本存在一个未经身份验证任意文件上传漏洞,可能导致远程代码执行。该漏洞源于`workreap_award_temp_file_uploader`和`workreap_temp_file_uploader`没有执行nonce检查,或以任何其他方式验证请求是否来自有效用户,允许将任意文件上传到uploads/workreap-temp目录。 |
更新时间: | 20211123 |
事件名称: | HTTP_木马_MuuyDownLoader(蔓灵花)_连接 |
安全类型: | 下载者木马 |
事件描述: | 检测到木马试图连接远程服务器。源IP所在的主机可能被植入了MuuyDownLoader。MuuyDownLoader是APT组织蔓灵花所使用的一个下载者,运行后,可以下载其它恶意样本,如后门等。 |
更新时间: | 20211123 |
事件名称: | HTTP_安全漏洞_泛微OA_eoffice8_任意文件上传漏洞 |
安全类型: | 文件上传 |
事件描述: | 泛微OA-eoffice8系统存在前台任意文件上传漏洞,通过此漏洞攻击者可上传任意php格式文件,后端服务器会成功解析该文件,导致可通过此漏洞直接获取系统权限。 |
更新时间: | 20211123 |
事件名称: | HTTP_安全漏洞_SonarQube_未授权访问漏洞[CVE-2020-27986][CNNVD-202010-1588] |
安全类型: | 敏感信息泄露 |
事件描述: | SonarQube是瑞士SonarSource公司的一套开源的代码质量管理系统。SonarQube8.4.2.36762版本存在安全漏洞,允许远程攻击者通过api/settings/values发现明文SMTP、SVN和GitLab凭据。 |
更新时间: | 20211123 |
事件名称: | HTTP_木马后门_WebShell上传_"font-family:宋体">可疑webshell |
安全类型: | 文件上传 |
事件描述: | 检测到源IP正在上传可疑"font-family:宋体">的webshell文件 |
更新时间: | 20211123 |
事件名称: | HTTP_木马_Win32.Echelon_Stealer_连接C2服务器_上传窃密信息 |
安全类型: | 窃密木马 |
事件描述: | Echelon_Stealer是一个窃密木马,使用C#语言编写而成。EchelonStealer的作者是一个名为“Madcode”的网络骗子。EchelonStealer在GitHub平台上公开发布。EchelonStealer的主要目标是从其目标获取敏感信息,以登录凭据、个人对话、加密货币钱包信息、敏感文件等为目标。 |
更新时间: | 20211123 |
事件名称: | DNS_木马_可疑矿池域名解析请求3 |
安全类型: | 挖矿软件 |
事件描述: | 检测到挖矿木马试图连接域名服务器解析矿池地址。源IP所在的主机可能被植入了挖矿木马。挖矿木马尝试连接矿池,运行后使受害主机变慢,消耗CPU资源。 |
更新时间: | 20211123 |
修改事件
事件名称: | HTTP_ThinkPHP5.0.x-5.0.23远程代码执行漏洞 |
安全类型: | 代码执行 |
事件描述: | 检测到源IP主机正在利用ThinkPHP框架远程代码执行漏洞攻击目的IP主机的行为,试图远程注入PHP代码,在目标服务器上执行任意代码或命令。ThinkPHP是一个流行的轻量级国产PHP开发框架。当Web网站是基于ThinkPHP框架开发时,可能存在该漏洞时。攻击者发送精心构造的PHP代码在目标主机上执行,企图进一步控制服务器。攻击成功,可远程执行任意代码。 |
更新时间: | 20211123 |
事件名称: | HTTP_通用事件_发现使用unicode编码 |
安全类型: | 其他可疑行为 |
事件描述: | Java默认的编码方式为Unicode,在java语言和部分.net程序中,unicode编码可被自动处理解析成字符串。 |
更新时间: | 20211123 |
事件名称: | HTTP_安全漏洞_D-Link-HNAP-SoapAction-Header命令执行漏洞[CVE-2015-2051] |
安全类型: | 命令执行 |
事件描述: | D-LinkDIR-645Wired/WirelessRouter是友讯(D-Link)公司的一款智能无线路由器产品。使用1.04b12及之前版本固件的D-LinkDIR-645中存在安全漏洞,远程攻击者可通过对HNAP接口执行GetDeviceSettings操作,利用该漏洞执行任意代码。 |
更新时间: | 20211123 |
事件名称: | HTTP_安全漏洞_Thinkphp3.2.x_文件包含漏洞 |
安全类型: | 代码执行 |
事件描述: | PHPUnit是PHP程式语言中最常见的单元测试(unittesting)框架,通常phpunit使用composer非常流行的PHP依赖管理器进行部署,将会在当前目录创建一个vendor文件夹.phpunit生产环境中仍然安装了它,如果该编写器模块存在于Web可访问目录,则存在远程代码执行漏洞。 |
更新时间: | 20211123 |
事件名称: | DNS_木马_可疑矿池域名解析请求2 |
安全类型: | 挖矿软件 |
事件描述: | 检测到挖矿木马试图连接域名服务器解析矿池地址。源IP所在的主机可能被植入了挖矿木马。挖矿木马尝试连接矿池,运行后使受害主机变慢,消耗CPU资源。 |
更新时间: | 20211123 |
事件名称: | HTTP_Jenkins-Groovy-Sandbox-breakout_远程代码执行 |
安全类型: | 代码执行 |
事件描述: | 检测到HTTP_Jenkins-Groovy-Sandbox-breakout_远程代码执行攻击。groovy沙箱,编译时间转换器在限制性沙箱中运行Groovy代码。安全执行不受信任的脚本。此漏洞绕过了Jenkins的Groovy沙箱,导致了代码执行。攻击成功,可远程执行任意代码。 |
更新时间: | 20211123 |
京公网安备11010802024551号