每周升级公告-2022-03-15
发布时间 2022-03-15新增事件
事件名称: | HTTP_可疑行为_日志文件信息泄露 |
安全类型: | CGI攻击 |
事件描述: | 检测到源IP主机正在利用信息泄露漏洞攻击目的IP主机的行为,可读取目的IP主机上的敏感信息文件。 |
更新时间: | 20220315 |
事件名称: | HTTP_漏洞利用_ShiroAttack2工具使用-暴力破解利用链_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到目前主机正受到ApachShiroRememberme参数命令注入代码执行攻击ApacheShiro是一个强大且易用的Java安全框架,被用来执行身份验证、授权、密码和会话管理。近日,发现针对该漏洞的利用方式已被小范围传播(漏洞版本<=1.2.4),请相关用户尽快采取措施对此漏洞进行防护。 |
更新时间: | 20220315 |
事件名称: | HTTP_漏洞利用_ShiroAttack2工具使用-内存马注入_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到目前主机正受到ApachShiroRememberme参数命令注入代码执行攻击ApacheShiro是一个强大且易用的Java安全框架,被用来执行身份验证、授权、密码和会话管理。近日,发现针对该漏洞的利用方式已被小范围传播(漏洞版本<=1.2.4),请相关用户尽快采取措施对此漏洞进行防护。 |
更新时间: | 20220315 |
事件名称: | TCP_后门_Win32.Torchwood_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到后门试图连接远程服务器。源IP所在的主机可能被植入了后门Torchwood。Torchwood是一个功能非常强大的后门,运行后可以完全控制被植入机器。主要通过CHM文件传播。允许攻击者完全控制被植入机器。 |
更新时间: | 20220315 |
事件名称: | TCP_可疑行为_Linux命令执行回显 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机出现了某些Linux命令(如w、top、uptime等)执行的回显流量,包含当前系统时刻、运行时间、用户总连接数、平均负载等信息 |
更新时间: | 20220315 |
事件名称: | HTTP_ElasticSearch_目录穿越漏洞[CVE-2015-5531] |
安全类型: | CGI攻击 |
事件描述: | 检测到试图通过利用ElasticSearch目录穿越漏洞进行攻击的行为,攻击者可以利用该漏洞读取到操作系统上的任意文件。ElasticSearch是一个基于Lucene的搜索服务器,基于Java开发。ElasticSearch存在目录穿越漏洞,攻击者利用该漏洞可读取操作系统上的任意文件。尝试远程执行任意代码。 |
更新时间: | 20220315 |
事件名称: | HTTP_elasticsearch-head_目录穿越漏洞[CVE-2015-3337] |
安全类型: | 安全漏洞 |
事件描述: | 检测到试图通过利用ElasticSearchhead插件目录穿越漏洞进行攻击的行为,攻击者可以利用该漏洞读取到操作系统上的任意文件。ElasticSearch是一个基于Lucene的搜索服务器,基于Java开发。ElasticSearchhead插件存在目录穿越漏洞,攻击者利用该漏洞可读取操作系统上的任意文件。尝试远程执行任意代码。 |
更新时间: | 20220315 |
事件名称: | HTTP_Apache_Solr_SSRF漏洞[CVE-2021-27905] |
安全类型: | 注入攻击 |
事件描述: | ApacheSolr是一个开源的搜索服务,使用Java编写、运行在Servlet容器的一个独立的全文搜索服务器,是ApacheLucene项目的开源企业搜索平台。该漏洞是由于没有对输入的内容进行校验,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行SSRF攻击,最终造成任意读取服务器上的文件。 |
更新时间: | 20220315 |
事件名称: | HTTP_可疑行为_java反序列化_远程命令执行 |
安全类型: | 可疑行为 |
事件描述: | 检测到源IP主机正在向目的IP发送可能存在远程命令执行调用的java反序列化请求。 |
更新时间: | 20220315 |
事件名称: | HTTP_安全漏洞_POSCMS_任意命令执行 |
安全类型: | 安全漏洞 |
事件描述: | POSCMS3.2.0版本前台界面存在远程代码执行漏洞。特定路径传入恶意参数,会导致代码执行,导致恶意攻击者可以通过此漏洞写入恶意代码,并可以通过此漏洞进行getshell |
更新时间: | 20220315 |
事件名称: | HTTP_安全漏洞_POSCMS_文件包含 |
安全类型: | 安全漏洞 |
事件描述: | POSCMS3.2.0版本后台管理界面的附件上传功能只是对文件后缀进行了验证,但并没有对文件内容进行验证,导致恶意攻击者可以通过此漏洞上传恶意文件,并可以通过利用此文件进行getshell。要执行攻击,需要能够登录到后台管理界面,且有上传文件的权限。 |
更新时间: | 20220315 |
事件名称: | HTTP_安全漏洞_mini_httpd_任意文件读取漏洞[CVE-2018-18778][CNNVD-201810-1382] |
安全类型: | 安全漏洞 |
事件描述: | Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括华为,zyxel,海康威视,树莓派等在内的厂商的旗下设备都曾采用Mini_httpd组件。ACMEmini_httpd<1.30版本存在一个任意文件读取漏洞,该漏洞源于在mini_httpd开启虚拟主机模式的情况下,用户请求http://HOST/FILE将会访问到当前目录下的HOST/FILE文件,而当HOST为空、FILE=etc/passwd的时候,上述语句结果为/etc/passwd。可作为绝对路径,读取到了/etc/passwd,造成任意文件读取漏洞。 |
更新时间: | 20220315 |
事件名称: | HTTP_安全漏洞_ToTolink_Technology路由器_未授权命令注入[CVE-2022-25134][CNNVD-202202-1645] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正试图通过CVE-2022-25134漏洞攻击目的IP主机。TOTOLINKTechnology路由器固件里存在命令注入漏洞,攻击者可借此远程执行系统命令。受影响路由器型号及其固件版本为:A830R(V5.9c.4729_B20191112)、3100R(V4.1.2cu.5050_B20200504)、A950RG(V4.1.2cu.5161_B20200903)、A800R(V4.1.2cu.5137_B20200730)、A3000RU(V5.9c.5185_B20201128)、A810R(V4.1.2cu.5182_B20201026)。 |
更新时间: | 20220315 |
事件名称: | HTTP_漏洞利用_ShiroAttack工具使用_远程代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到目前主机正受到ApachShiroRememberme参数命令注入代码执行攻击ApacheShiro是一个强大且易用的Java安全框架,被用来执行身份验证、授权、密码和会话管理。近日,发现针对该漏洞的利用方式已被小范围传播(漏洞版本<=1.2.4),请相关用户尽快采取措施对此漏洞进行防护。 |
更新时间: | 20220315 |
事件名称: | HTTP_安全漏洞_ToTolink_EX200无线中继器_未授权命令注入[CVE-2021-43711][CNNVD-202201-147] |
安全类型: | 安全漏洞 |
事件描述: | ToTolinkEx200是中国ToTolink公司的一款2.4G无线中继器,旨在扩大现有Wi-Fi网络的覆盖范围。ToTolinkEx200对httpGET参数处理不当,存在命令注入漏洞,导致未授权远程执行命令。攻击者可利用此漏洞注入执行恶意命令。 |
更新时间: | 20220315 |
修改事件
事件名称: | HTTP_可疑行为_Apache_Log4j_嵌套使用内置lookup格式字符串 |
安全类型: | 安全漏洞 |
事件描述: | ApacheLog4j是一个用于Java的日志记录库,其支持启动远程日志服务器。此事件代表发现了源IP主机发送了满足内置lookup格式的字符串,当目的IP主机后端接收到此格式的字符串时,会自动调用lookup功能。此事件检测的是“嵌套”使用lookup记号的行为,此行为具有一定风险,可能会被攻击者滥用,如绕过WAF检测,并进行非预期的jndi调用。 |
更新时间: | 20220315 |
事件名称: | TCP_可疑行为_Apache_Log4j_嵌套使用内置lookup格式字符串 |
安全类型: | 安全漏洞 |
事件描述: | ApacheLog4j是一个用于Java的日志记录库,其支持启动远程日志服务器。此事件代表发现了源IP主机发送了满足内置lookup格式的字符串,当目的IP主机后端接收到此格式的字符串时,会自动调用lookup功能。此事件检测的是“嵌套”使用lookup记号的行为,此行为具有一定风险,可能会被攻击者滥用,如绕过WAF检测,并进行非预期的jndi调用。 |
更新时间: | 20220315 |
事件名称: | HTTP_通用_目录穿越漏洞[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在尝试对目的IP主机进行目录穿越漏洞攻击尝试的行为。目录穿越漏洞能使攻击者绕过Web服务器的访问限制,对web根目录以外的文件夹,任意地读取甚至写入文件数据。此规则是一条通用规则,其他漏洞(甚至一些0day漏洞)攻击的payload也有可能触发此事件报警。由于正常业务中一般不会产生此事件特征的流量,所以需要重点关注。允许远程攻击者访问敏感文件。 |
更新时间: | 20220315 |
京公网安备11010802024551号