每周升级公告-2022-03-29
发布时间 2022-03-29新增事件
事件名称: | TCP_安全漏洞_Spring_Cloud_Function_SpEL_表达式注入漏洞 |
安全类型: | 安全漏洞 |
事件描述: | SpringCloudFunction是来自Pivotal的Spring团队的新项目,它致力于促进函数作为主要的开发单元。该项目提供了一个通用的模型,用于在各种平台上部署基于函数的软件,包括像AmazonAWSLambda这样的FaaS(函数即服务,functionasaservice)平台。由于SpringCloudFunction未对HTTP请求头部数据进行有效的验证,攻击者可利用该漏洞在未授权的情况下,构造恶意数据进行远程代码执行漏洞攻击,最终获取服务器最高权限。 |
更新时间: | 20220329 |
事件名称: | HTTP_安全漏洞_node-postgres_代码执行漏洞[CVE-2017-16082][CNNVD-201806-553] |
安全类型: | 安全漏洞 |
事件描述: | node-postgres在处理类型为RowDescription的postgres返回包时,将字段名拼接到代码中。由于没有进行合理转义,导致一个特殊构造的字段名可逃逸出代码单引号限制,造成代码执行漏洞 |
更新时间: | 20220329 |
事件名称: | TCP_后门_ELF.httpdz_连接服务器_上传窃密信息 |
安全类型: | 木马后门 |
事件描述: | 检测到ELF.httpdz后门连接服务器并上传窃密信息的行为。ELF.httpdz后门是在CryptoSink挖矿活动中被下载的后门文件,C++语言编写,具有下载恶意链接并执行,收集有关硬件(CPU、内存等)的信息上传到C2服务器等功能。 |
更新时间: | 20220329 |
事件名称: | HTTP_安全漏洞_OracleAccessManager_未授权代码执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP设备正在利用OracleAccessManager_未授权代码执行漏洞攻击目的IP设备。该漏洞将导致远程代码执行,成功利用该漏洞的攻击者可达到接管目标服务器的目的。 |
更新时间: | 20220329 |
事件名称: | TCP_后门_Gh0stCringe_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到远控后门Gh0stCringe试图连接远程服务器,源IP所在的主机可能被植入了Gh0stCringe。Gh0stCringe是利用一个根据Gh0st远控的源码修改而来的后门。运行后可以完全控制被感染机器。检测被感染机器上是否运行着主流的杀毒软件,试图获取敏感信息,如获取当前焦点窗口的标题、记录按键信息等。后门作者对网络通信格式做了一些处理,以躲避检测。Gh0stCringe将安全性差、账户凭证薄弱且没有监管的数据库服务器包括MicrosoftSQL,MySQL作为攻击目标的。 |
更新时间: | 20220329 |
事件名称: | HTTP_注入攻击_JACKSON-databind_2670_远程代码执行[CVE-2020-11113][CNNVD-202003-1735] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用FasterXML_Jackson的远程代码执行漏洞向目的ip进行反序列化攻击;FasterXMLJackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的组件。 |
更新时间: | 20220329 |
事件名称: | HTTP_代码执行_Oracle_Business_Intelligence_AMF反序列化漏洞[CVE-2020-2950][CNNVD-202004-810] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在构造恶意反序列化代码对Oracle_Business_Intelligence进行攻击;Oracle_Business_Intelligence是一个技术和应用程序组合,提供业界第一个集成的端到端企业绩效管理系统。 |
更新时间: | 20220329 |
事件名称: | HTTP_代码执行_WebLogic_反序列化漏洞[CVE-2018-3252][CNNVD-201810-843] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用Weblogic构造恶意反序列代码执行任意命令;OracleWeblogicServer是应用程序服务器。Weblogic应用服务器的ApacheConnector模块中的mod_wl未对用户提交的输入数据进行正确检查,远程攻击者可以利用漏洞进行缓冲区溢出攻击,可导致拒绝服务或任意代码执行攻击。攻击者可以提交包含超长数据的POST请求触发此漏洞,精心构建提交数据可导致以应用程序权限执行任意指令,获得服务器的控制权。 |
更新时间: | 20220329 |
事件名称: | HTTP_木马_Win32.MOOZ.THCCABO挖矿木马_连接C2服务器_上传窃密信息 |
安全类型: | 蠕虫病毒 |
事件描述: | MOOZ.THCCABO挖矿木马是使用AutoIt编译的一款挖矿程序,曾经和Zoom安装程序捆绑在一起传播。MOOZ.THCCABO挖矿木马使用WindowsManagementInstrumentation(WMI查询)收集图形处理单元(GPU)信息,它还收集受害主机的CPU、系统、操作系统版本、视频控制器和处理器的详细信息,它还会检查是否启用了MicrosoftSmartScreen和WindowsDefender,以及系统中正在运行的防病毒解决方案,收集到的信息将使用HTTPGET请求发送到hxxps://2no.co/1IRnc。 |
更新时间: | 20220329 |
事件名称: | TCP_安全扫描_MSF_探测postgres服务版本 |
安全类型: | 安全扫描 |
事件描述: | 检测到源IP设备正在探测目的IP设备postgres服务的版本 |
更新时间: | 20220329 |
事件名称: | TCP_木马_NTMiner(开源矿工)_连接服务器_上传窃密信息 |
安全类型: | 蠕虫病毒 |
事件描述: | 开源矿工(NTMiner)是一款由中国人开发设计的显卡挖矿软件,主要用于挖ETH等显卡币。开源矿工内置的所有内核均为原版,不会额外增加矿工支出,永远开源,永远不会去破解国人开发的内核。挖矿程序会占用CPU资源,可能导致受害主机变慢。 |
更新时间: | 20220329 |
事件名称: | HTTP_代码执行_PandoraFMS远程代码执行漏洞[CVE-2019-20224][CNNVD-202001-324] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用PandoraFMS的远程代码执行漏洞进行攻击;PandoraFMS是一款用于IT基础设施管理的监控软件。它包括网络设备、Windows和Unix服务器、虚拟基础架构和所有不同类型的应用程序。PandoraFMS具有大量功能,使其成为涵盖您组织可能存在的所有监控问题的新一代软件。 |
更新时间: | 20220329 |
事件名称: | HTTP_代码执行_WebSVN_远程代码执行漏洞[CVE-2021-32305] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在通过WebSVN的远程代码执行漏洞进行攻击,WebSVN是一个基于Web的SubversionRepository浏览器,可以查看文件或文件夹的日志,查看文件的变化列表等。 |
更新时间: | 20220329 |
事件名称: | TCP_木马_CPUMiner_连接矿池成功(BTC/LTC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到到挖矿木马CPUMiner连接矿池成功的行为。源IP所在的主机可能被植入了CPUMiner木马。CPUMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。 |
更新时间: | 20220329 |
事件名称: | TCP_木马_CPUMiner_获取挖矿任务(BTC/LTC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到挖矿木马CPUMiner矿机获取挖矿任务的行为。源IP所在的主机可能被植入了CPUMiner挖矿木马。CPUMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。 |
更新时间: | 20220329 |
事件名称: | TCP_木马_CPUMiner_挖矿控制命令通信_难度调整(BTC/LTC) |
安全类型: | 蠕虫病毒 |
事件描述: | 检测到挖矿木马由矿池控制矿机调整挖矿难度。源IP所在的主机可能被植入了CPUMiner挖矿木马。CPUMiner是一款挖矿恶意程序,挖矿程序会占用CPU资源,可能导致受害主机变慢。 |
更新时间: | 20220329 |
事件名称: | TCP_安全漏洞_Jackson_Databind_可疑反序列化类_dbcp2[CVE-2020-36180/CVE-2020-36182/CVE-2020-36184/CVE-2020-36185][CNNVD-202101-326/CNNVD-202101-325/CNNVD-202101-344/CNNVD-202101-337] |
安全类型: | 安全漏洞 |
事件描述: | Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为java对象的框架。攻击者可能利用jackson的可疑反序列化类org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource或org.apache.tomcat.dbcp.dbcp.datasources.SharedPoolDataSource攻击目的IP主机。 |
更新时间: | 20220329 |
修改事件
事件名称: | TCP_僵尸网络_IoT.Moobot_连接 |
安全类型: | 其他事件 |
事件描述: | 检测到Moobot试图连接C&C服务器。源IP主机可能被植入了僵尸网络Moobot。Moobot是一个IoT僵尸网络,主要功能是对指定目标发起DDoS攻击,通过各类漏洞传播自身。 |
更新时间: | 20220329 |
事件名称: | TCP_安全漏洞_Apache_Log4j2_远程代码执行漏洞[CVE-2021-44228][CNNVD-202112-799] |
安全类型: | 安全漏洞 |
事件描述: | ApacheLog4j2是一个用于Java的日志记录库,其支持启动远程日志服务器。在ApacheLog4j22.15.0_rc1之前的2.x版本中存在安全漏洞。攻击者可利用该漏洞远程执行任意代码 |
更新时间: | 20220329 |
京公网安备11010802024551号