每周升级公告-2021-12-14
发布时间 2021-12-15新增事件
事件名称: | TCP_后门_9002.Rat_APT_攻击 |
安全类型: | 远控后门 |
事件描述: | 检测到木马试图连接远程服务器。源IP所在的主机可能被植入了木马。9002.Rat是正在活跃的APTs(AdvancedPersistentThreats)攻击,难以检测,且非常有针对性。主要是利用时下流行的漏洞传播,如CVE-2013-1347、CVE-2013-2423、CVE-2013-1493等。发现有上传用户文件,远程执行命令等功能。攻击者可远程控制被控端主机做各种操作。 |
更新时间: | 20211214 |
事件名称: | HTTP_D_Link_命令注入漏洞 |
安全类型: | 逻辑/设计错误 |
事件描述: | D-Link一家生产网络硬件和软件产品的企业,主要产品有交换机、无线产品、宽带产品、网卡、路由器、网络摄像机和网络安全产品(防火墙)等。D-Link存在一个命令注入漏洞,攻击者可以通过向/getcfg.php发送包含恶意命令的请求,从而实现远程任意命令执行 |
更新时间: | 20211214 |
事件名称: | TCP_后门_Rotajakiro.Oceanlotus(海莲花)_连接 |
安全类型: | 其他后门 |
事件描述: | 检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门Rotajakiro。Rotajakiro疑似是APT组织海莲花所的使用后门,功能非常强大,运行后可以完全控制被感染机器。 |
更新时间: | 20211214 |
事件名称: | TCP_横向移动_Psexec文件写入 |
安全类型: | 其他后门 |
事件描述: | PsExec是一个轻量级的telnet替代工具,它使您无需手动安装客户端软件即可执行其他系统上的进程,并且可以获得与命令控制台几乎相同的实时交互性。PsExec最强大的功能就是在远程系统和远程支持工具(如ipconfig、whoami)中启动交互式命令提示窗口,以便显示无法通过其他方式显示的有关远程系统的信息。 |
更新时间: | 20211214 |
事件名称: | HTTP_安全漏洞_Citrix_SD-WAN_远程代码执行漏洞[CVE-2020-8271][CNNVD-202011-1336] |
安全类型: | 代码执行 |
事件描述: | CitrixSD-WAN是由美国Citrix公司开发的一套广域网集中管理系统,通过虚拟化技术实现企业级的安全广域网,综合利用多条链路,实现负载均衡,并能配置、监控和分析WAN上的所有CitrixSD-WAN设备。CitrixSD-WAN通过url匹配实现身份验证,但攻击者可以通过构造恶意url使得Apache解析的url和CakePHP传入的url不一致,从而绕过客户端证书检查,实现远程代码执行。 |
更新时间: | 20211214 |
事件名称: | HTTP_安全漏洞_Redmine_命令执行[CVE-2011-4929][CNNVD-201210-082] |
安全类型: | 命令执行 |
事件描述: | Redmine是一套开源的基于Web的项目管理和缺陷跟踪工具。该工具提供项目管理、问题跟踪和基于角色的访问控制等功能。Redmine0.9.x版本和1.0.5之前的1.0.x版本中的bazaar库适配器中存在未明漏洞。远程攻击者可利用该漏洞通过未知向量执行任意命令。 |
更新时间: | 20211214 |
事件名称: | HTTP_安全漏洞_Barracuda-Spam-Firewall-img.pl_远程命令执行[CVE-2005-2847][CNNVD-200509-075] |
安全类型: | 命令执行 |
事件描述: | BarracudaSpamFirewall是用于保护邮件服务器的集成硬件和软件垃圾邮件解决方案。BarracudaSpamFirewall中存在远程命令执行漏洞。img.pl脚本在用户读取完文件会试图断开文件。在/cgi-bin/img.pl脚本中:my$file_img=\"/tmp/\".CGI::param(\'\'f\'\');open(IMG,$file_img)ordie\"Couldnotopenimagebecause:$!\n\";...unlink($file_img);perlopen函数还可以用于执行命令。如果字符串以\"|\"结束的话,脚本就会执行命令。 |
更新时间: | 20211214 |
事件名称: | HTTP_安全漏洞_VINGA_命令执行漏洞[CVE-2021-43469][CNNVD-202112-350] |
安全类型: | 命令执行 |
事件描述: | VINGAWR-N300U77.102.1.4853受goahead组件影响,存在一处命令执行漏洞。该漏洞源于对传入的host参数过滤不严谨,导致攻击者可以注入恶意命令实现远程命令执行。 |
更新时间: | 20211214 |
事件名称: | HTTP_可疑行为_tcp_socket调用 |
安全类型: | 命令执行 |
事件描述: | 检测到源IP主机正在尝试在目的主机进行tcp_socket调用,可能为命令注入攻击。 |
更新时间: | 20211214 |
事件名称: | HTTP_安全漏洞_Quest_KACE_Systems_Management命令执行漏洞[CVE-2018-11138][CNNVD-201805-1216] |
安全类型: | 命令执行 |
事件描述: | 检测到源IP设备利用Quest_KACE_Systems_Management命令执行漏洞攻击目的IP设备。QuestKACE系统管理设备8.0.318download_agent_installer.php文件允许未经身份验证的用户以Web服务器用户www的身份执行任意命令。 |
更新时间: | 20211214 |
事件名称: | HTTP_可疑行为_Apache_Log4j_嵌套使用内置lookup格式字符串 |
安全类型: | 命令执行 |
事件描述: | ApacheLog4j是一个用于Java的日志记录库,其支持启动远程日志服务器。此事件代表发现了源IP主机发送了满足内置lookup格式的字符串,当目的IP主机后端接收到此格式的字符串时,会自动调用lookup功能。此事件检测的是“嵌套”使用lookup记号的行为,此行为具有一定风险,可能会被攻击者滥用,如绕过WAF检测,并进行非预期的jndi调用。 |
更新时间: | 20211214 |
事件名称: | TCP_可疑行为_Apache_Log4j_嵌套使用内置lookup格式字符串 |
安全类型: | 命令执行 |
事件描述: | ApacheLog4j是一个用于Java的日志记录库,其支持启动远程日志服务器。此事件代表发现了源IP主机发送了满足内置lookup格式的字符串,当目的IP主机后端接收到此格式的字符串时,会自动调用lookup功能。此事件检测的是“嵌套”使用lookup记号的行为,此行为具有一定风险,可能会被攻击者滥用,如绕过WAF检测,并进行非预期的jndi调用。 |
更新时间: | 20211214 |
京公网安备11010802024551号