每周升级公告-2023-02-07
发布时间 2023-02-07新增事件
事件名称: | HTTP_木马后门_Merlin_连接C2服务器 |
安全类型: | 木马后门 |
事件描述: | 检测到Merlin_agent试图连接远程服务器。源IP所在主机可能被植入了Merlinagent。Merlinagent是一个功能非常强大的后门,运行后,可以完全控制被植入机器。允许攻击者完全控制被植入机器。允许攻击者控制被植入机器。 |
更新时间: | 20230207 |
事件名称: | HTTP_漏洞利用_代码执行_F5_BIGIP_WSDL格式字符串漏洞[CVE-2023-22374] |
安全类型: | 安全漏洞 |
事件描述: | F5BIG-IP的iControlPortal.cgi接口存在漏洞,攻击者在经过身份校验的情况下可通过构造特殊payload,使目标主机服务崩溃或获取主机权限。此问题仅影响BIG-IP(不影响BIG-IQ)影响版本:F5BIG-IP17.0.0F5BIG-IP16.1.2.2-16.1.3F5BIG-IP15.1.5.1-15.1.8F5BIG-IP14.1.4.6-14.1.5F5BIG-IP13.1.5 |
更新时间: | 20230207 |
事件名称: | TCP_僵尸网络_HinataBot_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到HinataBot试图连接C&C服务器,源IP主机可能被植入了僵尸网络HinataBot。HinataBot是Go语言编写的DDoS僵尸网络,主要功能是对指定目标发起DDoS攻击。共支持linux、windows、freebsd、netbsd、openbsd、solaris、darwin、dragonfly、plan9、android等10个操作系统。支持386、amd64、arm、mips、ppc等多个指令集。 |
更新时间: | 20230207 |
事件名称: | HTTP_提权攻击_Apache_APISIX_默认密钥[CVE-2020-13945][CNNVD-202012-424] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用ApacheAPISIX的默认密钥漏洞进行攻击,在用户未指定管理员Token或使用了默认配置文件的情况下,ApacheAPISIX将使用默认的管理员Tokenedd1c9f034335f136f87ad84b625c8f1,攻击者利用这个Token可以访问到管理员接口,进而通过script参数来插入任意LUA脚本并执行。 |
更新时间: | 20230207 |
事件名称: | TCP_木马后门_Gh0st.Get_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到Gh0st.Get试图连接远程服务器。源IP所在的主机可能被植入了远控后门Gh0st.Get。Gh0st.Get是利用一个根据Gh0st远控的源码修改而来的远控后门,运行后可以完全控制被植入机器。 |
更新时间: | 20230207 |
事件名称: | HTTP_僵尸网络_LiteHTTP_连接C2服务器 |
安全类型: | 木马后门 |
事件描述: | 检测到LiteHTTP试图连接C&C服务器。LiteHTTP是一个使用C#编写的开源僵尸网络恶意软件,项目地址为:https://github.com/zettabithf/LiteHTTP,项目有3个目录,Bot是病毒程序的代码,Panel是控制端的代码,使用PHP编写,Builder是一个生成器,用于快速生成病毒程序。LiteHTTP可以收集主机信息,使用预先约定的密钥进行加密,然后将加密后的信息以HTTP的方式上传至控制端服务器,接受控制端的控制码并执行相应的操作,上传执行的结果。 |
更新时间: | 20230207 |
事件名称: | HTTP_文件操作攻击_Zimbra_文件上传[CVE-2022-27925][CVE-2022-37042][CNNVD-202204-3909] |
安全类型: | 安全漏洞 |
事件描述: | ZimbraCollaborationSuite(ZCS)8.8.15和9.0具有mboximport功能,可接收ZIP存档并从中提取文件。通过绕过身份验证(即没有身份验证令牌),攻击者可以将任意文件上传到系统,从而导致目录遍历和远程代码执行。 |
更新时间: | 20230207 |
修改事件
事件名称: | TCP_提权攻击_Weblogic_ForeignOpaqueReference组件_JNDI注入_代码执行[CVE-2023-21839] |
安全类型: | 安全漏洞 |
事件描述: | OracleWebLogicServer是一个统一的可扩展平台,用于在本地和云端开发、部署和运行企业应用程序,例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)和JakartaEE的可靠、成熟和可扩展的实现。由于ForeignOpaqueReference类存在安全问题,CVE-2023-21839漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致OracleWebLogic服务器被接管或敏感信息泄露。影响范围:OracleWebLogicServer12.2.1.3.0OracleWebLogicServer12.2.1.4.0OracleWebLogicServer14.1.1.0.0 |
更新时间: | 20230207 |
事件名称: | HTTP_漏洞利用_文件上传_ZOHO_ManageEngine_Desktop_Central_statusUpdate[CVE-2014-5005] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用ZOHOManageEngineDesktopCentral中存在的漏洞进行攻击的行为。ZOHOManageEngineDesktopCentral(DC)是美国卓豪(ZOHO)公司的一套桌面管理解决方案。该方案包含软件分发、补丁管理、系统配置、远程控制等功能模块,可对桌面机以及服务器管理的整个生命周期提供支持。ZOHOManageEngineDC9build90055之前版本中存在一个目录遍历造成的任意文件上传漏洞,该漏洞源于程序执行LFU操作时,statusUpdate没有充分过滤‘fileName’参数,远程攻击者可借助目录遍历字符‘..’,上传任意文件。 |
更新时间: | 20230207 |
事件名称: | HTTP_提权攻击_Splunk_代码执行[CVE-2022-43571] |
安全类型: | 安全漏洞 |
事件描述: | SplunkEnterprise是机器数据的引擎。使用Splunk可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据。关联并分析跨越多个系统的复杂事件。获取新层次的运营可见性以及IT和业务智能。由于SplunkEnterprise中SimpleXML仪表板存在代码注入,经过身份验证的远程攻击者可构造特制的数据包,通过PDF导出操作触发任意代码执行。 |
更新时间: | 20230207 |
京公网安备11010802024551号