每周升级公告-2022-11-08
发布时间 2022-11-08
事件名称: | HTTP_可疑行为_疑似访问恶意JNDI服务_JNDIExploit工具 |
安全类型: | 安全漏洞 |
事件描述: | 检测到疑似访问JNDIExploit工具生成的恶意JNDI服务地址,可能正在遭受java反序列化攻击。 |
更新时间: | 20221108 |
事件名称: | TCP_提权攻击_Apache_Batik_代码执行[CVE-2022-40146] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用ApacheBatik全版本中存在的代码执行漏洞,从而获取目标主机的权限。Batik是一个基于Java的工具包,适用于希望将可缩放矢量图形(SVG)格式的图像用于各种目的(例如显示、生成或操作)的应用程序或小程序。 |
更新时间: | 20221108 |
事件名称: | HTTP_文件操作攻击_SiteServerCMS_文件下载[CVE-2022-36226] |
安全类型: | 安全漏洞 |
事件描述: | SiteServerCMS5.0版本存在一个远程模板文件下载漏洞。该漏洞是由于后台模板下载位置未对用户权限进行校验,且ajaxOtherService中的downloadUrl参数可控,攻击者可利用该漏洞,远程植入webshell。 |
更新时间: | 20221108 |
事件名称: | HTTP_提权攻击_ScriptEngineManager_SnakeYAML反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用SnakeYAMLScriptEngineManager反序列化利用链进行攻击,从而获取目标系统权限。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式数据的类库,它提供了dump方法可以将一个Java对象转为Yaml格式字符串,其load方法也能够将Yaml字符串转为Java对象。 |
更新时间: | 20221108 |
事件名称: | HTTP_提权攻击_JdbcRowSetImpl_SnakeYAML反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用SnakeYAML的JdbcRowSetImpl反序列化利用链进行攻击,从而获取目标系统权限。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式数据的类库,它提供了dump方法可以将一个Java对象转为Yaml格式字符串,其load方法也能够将Yaml字符串转为Java对象。 |
更新时间: | 20221108 |
事件名称: | HTTP_提权攻击_XBean_SnakeYAML反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用XBean反序列化利用链进行攻击,从而获取目标系统权限。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式数据的类库,它提供了dump方法可以将一个Java对象转为Yaml格式字符串,其load方法也能够将Yaml字符串转为Java对象。 |
更新时间: | 20221108 |
事件名称: | HTTP_提权攻击_JndiRefForwardingDataSource_SnakeYAML反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用CP30JndiRefForwardingDataSource反序列化利用链进行攻击,从而获取目标系统权限。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式数据的类库,它提供了dump方法可以将一个Java对象转为Yaml格式字符串,其load方法也能够将Yaml字符串转为Java对象。 |
更新时间: | 20221108 |
事件名称: | HTTP_提权攻击_WrapperConnectionPoolDataSource_SnakeYAML反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用CP30WrapperConnectionPoolDataSource反序列化利用链进行攻击,从而获取目标系统权限。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式数据的类库,它提供了dump方法可以将一个Java对象转为Yaml格式字符串,其load方法也能够将Yaml字符串转为Java对象。 |
更新时间: | 20221108 |
事件名称: | HTTP_提权攻击_Resource_SnakeYAML反序列化利用链_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用Resource反序列化利用链进行攻击,从而获取目标系统权限。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式数据的类库,它提供了dump方法可以将一个Java对象转为Yaml格式字符串,其load方法也能够将Yaml字符串转为Java对象。 |
更新时间: | 20221108 |
事件名称: | HTTP_可疑行为_远程命令执行(通过参数传输) |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在通过HTTP请求的参数向目的IP发送疑似带有远程命令执行关键字的请求。 |
更新时间: | 20221108 |
事件名称: | HTTP_可疑行为_远程命令执行(通过参数传输) |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在通过HTTP请求的参数向目的IP发送疑似带有远程命令执行关键字的请求。 |
更新时间: | 20221108 |
修改事件
事件名称: | HTTP_提权攻击_Oracle_WebLogic_反序列化_代码执行[CVE-2019-2725/CVE-2019-2729] |
安全类型: | 安全漏洞 |
事件描述: | 此漏洞是由于应用在处理反序列化输入信息时存在缺陷,攻击者可以通过发送精心构造的恶意HTTP请求,用于获得目标服务器的权限,并在未授权的情况下执行远程命令,最终获取服务器的权限。CVE-2019-2729是CVE-2019-2725的绕过。受影响版本为:OracleWebLogicServer,versions10.3.6.0.0,12.1.3.0.0,12.2.1.3.0 |
更新时间: | 20221108 |
事件名称: | TCP_提权攻击_Jackson_Databind_反序列化_代码执行[CVE-2019-14379] |
安全类型: | 安全漏洞 |
事件描述: | Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化为java对象的框架。攻击者可能利用jackson的可疑反序列化类ehcache攻击目的IP主机。 |
更新时间: | 20221108 |
事件名称: | HTTP_提权攻击_Apache_Shiro_v1.7.1以下_权限绕过[CVE-2020-17523][CNNVD-202102-238] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用ApacheShiro1.7.1之前版本存在的权限绕过漏洞,从而在未授权的情况下绕过shiro的权限校验访问到敏感内容。ApacheShiro是一个强大且易用的Java安全框架,它可以用来执行身份验证、授权、密码和会话管理。目前常见集成于各种应用中进行身份验证,授权等 |
更新时间: | 20221108 |
事件名称: | HTTP_安全审计_可疑UA |
安全类型: | 安全审计 |
事件描述: | 检测到源IP地址的主机正在使用WEB扫描工具(如:sqlmap、nessus等)对目的IP地址进行漏洞扫描。WEB扫描器通常是攻击者用来做服务扫描、漏洞测试等。通过漏洞扫描,可以自动快速探测一些常见漏洞情况,当存在漏洞时便于后续进行利用攻击。 |
更新时间: | 20221108 |
事件名称: | HTTP_木马后门_Win32.Zebrocy.Downloader(APT28)_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到Zebrocy试图连接远程服务器。源IP所在的主机可能被植入了Zebrocy。Zebrocy是APT28组织使用的工具,包含3个组件。其中两个基于Delphi、AutoIT的下载者木马,另一个是基于Delphi的后门,本事件是针对下载者木马的检测。APT28是具有俄罗斯背景的APT组织,也被称为Sofacy、FancyBear、Sednit、TsarTeam等。 |
更新时间: | 20221108 |
事件名称: | HTTP_文件操作攻击_Coppermine_Photo_Gallery_目录遍历 |
安全类型: | CGI攻击 |
事件描述: | 检测到源IP主机正在利用CopperminePhotoGallery中存在的目录遍历漏洞进行攻击的行为。CopperminePhotoGallery(CPG)是Coppermine团队开发的一套基于Web的相册管理系统。该系统提供用户管理、相册密码访问限制和自动生成缩略图等功能。CopperminePhotoGallery的1.5.44及之前版本的pic_editor.php存在目录遍历漏洞。该漏洞源于程序没有正确检查用户的输入。远程攻击者可借助目录遍历字符‘../'、‘..%2f..%2f’利用该漏洞读取任意文件。允许远程攻击者读取任意文件 |
更新时间: | 20221108 |
事件名称: | TCP_提权攻击_WebLogic_Blind_XXE注入[CVE-2020-14820][CNNVD-202010-994] |
安全类型: | 注入攻击 |
事件描述: | 检测到源IP主机正在利用WebLogicBlindXXE注入漏洞对目的主机进行攻击的行为,该漏洞主要影响Weblogic10.3.6.0.0Weblogic12.1.3.0.0Weblogic12.2.1.3.0Weblogic12.2.1.4.0Weblogic14.1.1.0.0版本,通过该漏洞,攻击者可以在未授权的情况下将payload封装在T3或IIOP协议中,通过对协议中的payload进行反序列化,从而实现对存在漏洞的WebLogic组件进行远程BlindXXE攻击。 |
更新时间: | 20221108 |
事件名称: | HTTP_提权攻击_ThinkCMF_代码执行 |
安全类型: | 安全漏洞 |
事件描述: | ThinkCMF是一款基于ThinkPHP+MySQL开发的开源中文内容管理框架。远程攻击者在无需任何权限情况下,可利用此漏洞构造恶意的url,向服务器写入任意内容的文件,达到远程代码执行的目的。影响版本ThinkCMFX1.6.0,ThinkCMFX2.1.0,ThinkCMFX2.2.0,ThinkCMFX2.2.1,ThinkCMFX2.2.2,ThinkCMFX2.2.3。 |
更新时间: | 20221108 |
事件名称: | HTTP_提权攻击_WebSVN_远程命令执行[CVE-2021-32305] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在通过WebSVN的search.php页面构造任意命令进行攻击,从而下载恶意文件或执行恶意命令。WebSVN是一个基于Web的SubversionRepository浏览器,可以查看文件或文件夹的日志,查看文件的变化列表等。 |
更新时间: | 20221108 |
事件名称: | TCP_木马后门_Win32/Linux_ircBot_连接 |
安全类型: | 其他事件 |
事件描述: | 检测到ircBot试图连接远程服务器。源IP所在的主机可能被植入了ircBot。ircBot是基于irc协议的僵尸网络,主要功能是对指定目标主机发起DDoS攻击。还可以下载其他病毒到被植入机器。对指定目标主机发起DDoS攻击。 |
更新时间: | 20221108 |
事件名称: | HTTP_安全漏洞_ToTolink_N600R路由器_Exportovpn_未授权命令注入 |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正试图通过ToTolinkN600R路由器Exportovpn命令注入漏洞攻击目的IP主机。在ToTolinkN600R路由器的cstecgi.cgi文件中,exportovpn接口存在命令注入,攻击者可借此未验证远程执行恶意命令。 |
更新时间: | 20221108 |
事件名称: | HTTP_安全漏洞_若依CMS_远程命令执行漏洞 |
安全类型: | 安全漏洞 |
事件描述: | 若依后台管理系统使用了snakeyaml的jar包,snakeyaml是用来解析yaml的格式,可用于Java对象的序列化、反序列化。由于若依后台计划任务处,对于传入的"调用目标字符串"没有任何校验,导致攻击者可以构造payload远程调用jar包,从而执行任意命令。 |
更新时间: | 20221108 |
京公网安备11010802024551号