每周升级公告-2022-10-11
发布时间 2022-10-11新增事件
事件名称: | HTTP_注入攻击_Dolibarr_ERP-CRM_8.0.4_rowid_SQL注入 |
安全类型: | 注入攻击 |
事件描述: | 检测到源ip正在利用DolibarrEPR-CRM8.0.4以及之前版本存在的sql注入漏洞,从而获取目标系统数据库中的信息。 |
更新时间: | 20221011 |
事件名称: | TCP_提权攻击_Redis_v4.x-v5.x_远程命令执行1 |
安全类型: | 安全漏洞 |
事件描述: | Redis4.x、5.x版本中,提供了主从模式。主从模式指使用一个redis作为主机,其他的作为备份机,主机从机数据都是一样的,从机只负责读,主机只负责写。在Reids4.x之后,通过外部拓展,可以实现在redis中实现一个新的Redis命令,构造恶意.so文件。在两个Redis实例设置主从模式的时候,Redis的主机实例可以通过FULLRESYNC同步文件到从机上。然后在从机上加载恶意so文件,即可执行命令。 |
更新时间: | 20221011 |
事件名称: | TCP_提权攻击_Redis_v4.x-v5.x_远程命令执行2 |
安全类型: | 安全漏洞 |
事件描述: | Redis4.x、5.x版本中,提供了主从模式。主从模式指使用一个redis作为主机,其他的作为备份机,主机从机数据都是一样的,从机只负责读,主机只负责写。在Reids4.x之后,通过外部拓展,可以实现在redis中实现一个新的Redis命令,构造恶意.so文件。在两个Redis实例设置主从模式的时候,Redis的主机实例可以通过FULLRESYNC同步文件到从机上。然后在从机上加载恶意so文件,即可执行命令。 |
更新时间: | 20221011 |
事件名称: | HTTP_文件操作攻击_Drogon_framework_小于1.75_任意文件上传[CVE-2022-25297] |
安全类型: | 安全漏洞 |
事件描述: | Drogonframework是一个基于C++14/17的HTTP应用程序框架,小于1.75版本时容易受到任意文件写入的影响。该漏洞源于在上传过程中对文件名的不安全处理可能使攻击者能够将文件写入指定目标文件夹之外的任意位置。 |
更新时间: | 20221011 |
事件名称: | HTTP_文件操作攻击_ColdFusion_文件读取[CVE-2010-2861] |
安全类型: | 安全漏洞 |
事件描述: | AdobeColdFusion是一个动态Web服务器,其所采用的CFML(ColdFusionMarkupLanguage)程序设计语言类似"107" style="border-right: 1px solid windowtext; border-bottom: 1px solid windowtext; border-left: 1px solid windowtext; border-image: initial; border-top: none; background: white; padding: 0px 7px;"> 更新时间:20221011 |
事件名称: | HTTP_提权攻击_Bitbucket_Server_命令执行[CVE-2022-36804] |
安全类型: | 安全漏洞 |
事件描述: | AtlassianBitbucketServer和DataCenter7.0.07.6.17之前的多个API端点,7.17.10之前的版本7.7.0,7.21.4之前的版本7.18.0,8.0之前的版本8.0.0。3,从版本8.1.0到版本8.1.3,从版本8.2.0到版本8.2.2,从版本8.3.0到8.3.1允许远程攻击者对公共或私有Bitbucket存储库具有读取权限执行通过发送恶意HTTP请求的任意代码 |
更新时间: | 20221011 |
事件名称: | ICMP_后门_Bvp47_连接 |
安全类型: | 木马后门 |
事件描述: | Bvp47是方程式组织的顶级Linux后门,方程式组织是世界超一流的网络攻击组织,普遍认为隶属于美国国家安全局NSA。Bvp47通过在第一个SYN包中夹带数据的方式来躲避网络安全设备的检测。Bvp47实现包含了复杂的代码、区段加解密,Linux多版本平台适配,丰富的rootkit反追踪技巧。最重要的是集成了高级隐蔽信道中所使用的BPF引擎高级利用技巧,以及繁琐的通信加解密流程。 |
更新时间: | 20221011 |
修改事件
事件名称: | TCP_提权攻击_Jackson_Databind_反序列化_代码执行[CVE-2020-35491/CVE-2020-36179/CVE-2020-36181/CVE-2020-36183/CVE-2020-36186] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用Jackson<2.9.9.2以及>=2.0.0,<=2.9.10.7版本中存在的反序列化漏洞,从而获取目标系统权限。Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为java对象的框架 |
更新时间: | 20221011 |
事件名称: | TCP_提权攻击_WebLogic反序列化_代码执行[CVE-2018-3191] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机试图利用WebLogic12.2.1.3及之前的版本存在的反序列化漏洞,从而获取目标系统权限。Weblogic是目前全球市场上应用最广泛的J2EE工具之一,被称为业界最佳的应用程序服务器,其用于构建J2EE应用程序,支持新功能,可降低运营成本,提高性能,增强可扩展性并支持OracleApplications产品组合。T3协议是用于Weblogic服务器和其他JavaApplication之间传输信息的协议,是实现RMI远程过程调用的专有协议,其允许客户端进行JNDI调用。 |
更新时间: | 20221011 |
事件名称: | TCP_提权攻击_Redis_v4.x-v5.x_远程命令执行 |
安全类型: | 安全漏洞 |
事件描述: | Redis4.x、5.x版本中,提供了主从模式。主从模式指使用一个redis作为主机,其他的作为备份机,主机从机数据都是一样的,从机只负责读,主机只负责写。在Reids4.x之后,通过外部拓展,可以实现在redis中实现一个新的Redis命令,构造恶意.so文件。在两个Redis实例设置主从模式的时候,Redis的主机实例可以通过FULLRESYNC同步文件到从机上。然后在从机上加载恶意so文件,即可执行命令。 |
更新时间: | 20221011 |
事件名称: | HTTP_网络扫描_Netsparker_WEB漏洞扫描 |
安全类型: | 安全扫描 |
事件描述: | 检测到源IP主机正在利用Netsparker对目的主机进行web应用安全漏洞扫描的行为。Netsparker是一款综合型的web应用安全漏洞扫描工具,它能够更好的检测SQLInjection和Cross-siteScripting类型的安全漏洞。可能会导致系统泄露某些敏感信息。 |
更新时间: | 20221011 |
事件名称: | HTTP_文件操作攻击_Sanic_static_文件读取 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP对目的IP的Sanic进行攻击的行为.Sanic一个基于Python3.5+的异步(asyncio+uvloop)web框架,与Flask有点相似。处理速度快,应用广泛。允许读取任意文件 |
更新时间: | 20221011 |
事件名称: | HTTP_信息泄露_DedeCMS管理目录枚举_敏感信息泄露 |
安全类型: | CGI攻击 |
事件描述: | 检测到源IP地址主机正在向目的IP地址主机发起DedeCMS管理目录枚举漏洞攻击的行为。DedeCMS是流行的PHP开源网站管理系统。通常DedeCMS网站在安装后管理员会修改后台管理目录为一个特殊的字符串,防止攻击者从外部找到后台管理目录。DedeCMSV5.7SP2最新版本及以前版本存在管理目录枚举漏洞,攻击者可以通过Windows操作系统特性技巧性的暴力枚举管理后台目录。尝试暴力枚举管理目录。 |
更新时间: | 20221011 |
事件名称: | HTTP_文件操作攻击_php反序列化小马_文件上传 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在向目的ip上传php反序列化的webshell文件,该文件通常包含反序列化destruct()函数,和执行命令的assert.()函数。上传成功后导致任意代码执行、服务器被接管等后果。 |
更新时间: | 20221011 |
事件名称: | HTTP_提权攻击_Atlassian_Crowd_远程命令执行[CNNVD-201905-1031] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源主机IP正在利用目的IP主机上Atlassian-Crowd上“/crowd/plugins/servlet/cdl”处的代码执行漏洞,构造恶意命令,从而获取敏感信息,及服务器权限。AtlassianCrowd是一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。 |
更新时间: | 20221011 |
事件名称: | HTTP_提权攻击_JACKSON-databind_远程代码执行[CVE-2020-9546/9547/9548] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用目的主机上JACKSON的黑名单局限,通过shiro-core类触发JNDI远程类加载操作。FasterXMLJackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。 |
更新时间: | 20221011 |
事件名称: | HTTP_提权攻击_Ruby_On_Rails_命令执行[CVE-2020-8163][CNNVD-202005-856] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用Ruby_On_Rails的system页面,构造恶意代码,执行任意命令。Rails有一个名为render的API,它可以让开发人员选择要呈现内容的模板。除此之外,还可以传递一个locals数组,将更多的变量向下传递给模板本身,方便您扩展模板的灵活性,甚至使其功能更强大。 |
更新时间: | 20221011 |
事件名称: | HTTP_提权攻击_Jackson反序列化_代码执行[CVE-2020-14060][CNNVD-202006-997] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用FasterXMLjackson-databind2.x,2.9.10.5版本之前的反序列化漏洞,通过构造恶意的oadd.org.apache.xalan.lib.sql.JNDIConnectionPool类json序列化字符串,从而获取目标系统权限 |
更新时间: | 20221011 |
事件名称: | HTTP_安全漏洞_Jackson_反序列化_代码执行[CVE-2020-14062][CNNVD-202006-996] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用FasterXMLjackson-databind2.x,2.9.10.5版本之前的反序列化漏洞,通过恶意的com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool类json序列化字符串获取目标系统的权限 |
更新时间: | 20221011 |
事件名称: | HTTP_提权攻击_Jackson反序列化_代码执行[CVE-2020-14195][CNNVD-202006-1070] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用FasterXMLjackson-databind2.x,2.9.10.5版本之前的反序列化漏洞,通过构造恶意的org.jsecurity.realm.jndi.JndiRealmFactory类json序列化字符串造成代码执行,从而控制目标系统权限 |
更新时间: | 20221011 |
事件名称: | HTTP_提权攻击_Jackson反序列化_代码执行[CVE-2019-14540][CNNVD-201909-716] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用Jackson2.9.10版本之前存在的反序列化漏洞,通过构造恶意的com.zaxxer.hikari.HikariConfig类json序列化数据进行jndi注入攻击,从而获取目标系统的权限 |
更新时间: | 20221011 |
事件名称: | HTTP_提权攻击_SangforEDR_cssp_远程命令执行 |
安全类型: | 安全漏洞 |
事件描述: | Sangfor终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案。此产品存在远程命令执行漏洞(命令注入),未经过身份验证的攻击者通过发送特制请求包,可以造成远程执行命令的后果。 |
更新时间: | 20221011 |
事件名称: | HTTP_提权攻击_JACKSON_反序列化_代码执行[CVE-2019-12384][CNNVD-201906-867] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用HTTP_JACKSON_远程代码执行漏洞攻击目的IP主机的行为。FasterXMLJackson是美国FasterXML公司的一款适用于Java的数据处理工具。jackson-databind是其中的一个具有数据绑定功能的核心组件之一。该漏洞是由于Jackson黑名单过滤不完整而导致,攻击者可构造包含有恶意代码的json数据包对应用进行攻击,导致远程命令执行。攻击成功,可远程执行任意代码。 |
更新时间: | 20221011 |
京公网安备11010802024551号