每周升级公告-2023-04-04
发布时间 2023-04-04新增事件
事件名称: | HTTP_漏洞利用_未授权访问_Apache_ShenYu_管理系统[CVE-2021-37580] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip正在利用ApacheShenYu管理系统的未授权登录漏洞,攻击者可通过该漏洞绕过JSONWebToken(JWT)安全认证,直接进入系统后台。ApacheShenYu是一个异步的,高性能的,跨语言的,响应式的API网关。 |
更新时间: | 20230404 |
事件名称: | DNS_命令控制_木马后门_3CXDesktop.Backdoor_连接服务器 |
安全类型: | 安全漏洞 |
事件描述: | 3CXDesktop App部分版本在构建安装程序时,会触发攻击者嵌入的恶意代码,并下载下一步恶意负载至受害主机执行。 3CXDesktop App适用于Linux、MacOS和Windows。用户可使用3CXDesktop进行文字、语音、视频交互。3CX是一家VoIP IPBX软件开发公司,声称拥有超过60万家公司和1200万用户使用,其中包括汽车、航空航天、金融、食品饮料、政府、酒店等多个行业的知名企业。 |
更新时间: | 20230404 |
事件名称: | DNS_命令控制_远控后门_毒云藤_连接C2服务器 |
安全类型: | 安全漏洞 |
事件描述: | 发现毒云藤钓鱼事件。毒云藤,又名绿斑、APT-C-01等,是一个长期针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙,最早可以追溯到2007年。该组织惯用鱼叉式钓鱼网络攻击,会选取与攻击目标贴合的诱饵内容进行攻击活动,惯用的主题包括通知、会议材料、研究报告等或是采用攻击时间段时事主题。除了附件投递木马外,毒云藤还惯用钓鱼网站钓鱼,窃取目标的账户密码,进而获得更多重要信息。该组织主要关注方向包括:海事、军工、涉台两岸关系、中美关系等。 |
更新时间: | 20230404 |
事件名称: | DNS_木马_双枪木马(DoubleGun)_C2域名解析请求 |
安全类型: | 木马后门 |
事件描述: | 双枪木马本身集Rootkit和Bootkit(同时感染MBR和VBR)于一身,还有诸多对抗措施。除此之外,双枪木马恶意活动相关的网络基础设施十分庞杂,感染路径繁琐、传播手段多样。该事件表明双枪木马正在请求恶意C2域名。 |
更新时间: | 20230404 |
事件名称: | DNS_木马后门_魔盗_C2域名解析请求 |
安全类型: | 木马后门 |
事件描述: | 2022年9月,我们监测到一批伪装成CorelDraw、Notepad++、IDA Pro、WinHex等多款实用软件进行传播的窃密木马。通过跟踪监测发现其每日上线境内肉鸡数(以IP数计算)最多已超过1.3万,由于该窃密木马会收集浏览器书签、邮箱账户等信息,故我们将命名为“魔盗”。
攻击者利用 “cdr[.]jyxwlkj.cn”及“cdrnb[.]jyxwlkj.cn”域名建立多个软件下载页面,用于投放伪装成实用软件的“魔盗”窃密木马。窃密木马运行后会收集受害者主机中已安装的软件列表与多款浏览器的历史记录、书签数据和邮件客户端邮箱账户信息,并加密回传至攻击者服务器。由于部分恶意程序具备在线升级能力,因此攻击者可随时更改攻击载荷(如勒索、挖矿、窃密等不同目的的攻击载荷),给受害者造成更大损失。 |
更新时间: | 20230404 |
事件名称: | HTTP_漏洞利用_文件上传_致远OA_htmlofficeservlet |
安全类型: | 安全漏洞 |
事件描述: | 检测到源ip主机正在利用致远OA中存在的文件上传漏洞进行攻击。远程攻击者在无需登录的情况下可通过向/seeyon/htmlofficeservlet发送精心构造的数据即可向目标服务器写入任意文件,写入成功后可执行任意系统命令进而控制目标服务器。 |
更新时间: | 20230404 |
事件名称: | HTTP_漏洞利用_反序列化_Apache_InLong_JDBC[CVE-2023-27296] |
安全类型: | 安全漏洞 |
事件描述: | Apache InLong是一个用于海量数据的一站式集成框架,提供自动、安全和可靠的数据传输功能。InLong同时支持批处理和流数据处理,为基于流数据构建数据分析、建模和其他实时应用程序提供了强大的能力。由于其存在不安全的反序列化漏洞,攻击者可通过精心构造的payload攻击目标服务器,造成任意代码执行或任意文件读取。 |
更新时间: | 20230404 |
事件名称: | HTTP_漏洞利用_代码执行_pyLoad-pyimport[CVE-2023-0297] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用目的主机上的pyLoad(小于0.5.0b3.dev31),利用js2py功能的未授权漏洞,构造恶意python代码进行攻击。pyLoad是一个用Python编写的免费和开源下载管理器,可用于NAS、下一代路由器、无头家庭服务器以及任何能够连接到互联网并支持Python编程语言的设备。 |
更新时间: | 20230404 |
修改事件
事件名称: | HTTP_安全风险_配置信息_Swagger接口 |
安全类型: | 安全审计 |
事件描述: | Swagger是一款RESTFUL接口的、基于YAML、JSON语言的文档在线自动生成、代码自动生成的工具。spring框架中也会使用Swagger:springfox-swagger2(2.4)springfox-swagger-ui(2.4),相关文件夹被访问有信息泄露风险。 |
更新时间: | 20230404 |
事件名称: | TCP_提权攻击_Weblogic_ForeignOpaqueReference组件_JNDI注入_代码执行[CVE-2023-21839] |
安全类型: | 安全漏洞 |
事件描述: | OracleWebLogicServer是一个统一的可扩展平台,用于在本地和云端开发、部署和运行企业应用程序,例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)和JakartaEE的可靠、成熟和可扩展的实现。由于ForeignOpaqueReference类存在安全问题,CVE-2023-21839漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致OracleWebLogic服务器被接管或敏感信息泄露。影响范围:OracleWebLogicServer12.2.1.3.0OracleWebLogicServer12.2.1.4.0OracleWebLogicServer14.1.1.0.0 |
更新时间: | 20230404 |
事件名称: | TCP_漏洞利用_Oracle_反序列化_Weblogic_T3协议[CVE-2020-14756][CVE-2021-2394] |
安全类型: | 安全漏洞 |
事件描述: | OracleWebLogicServer是一个统一的可扩展平台,用于在本地和云端开发、部署和运行企业应用程序,例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)和JakartaEE的可靠、成熟和可扩展的实现。CVE-2020-2555漏洞可以绕过黑名单通过反序列化触发Extractor中不安全的extract方法,允许未经身份验证的远程攻击者通过T3协议网络访问并破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致OracleWebLogic服务器被接管或敏感信息泄露。影响范围:OracleCoherence10.3.6.0.0OracleCoherence12.1.3.0.0OracleCoherence12.2.1.3.0OracleCoherence12.2.1.4.0 |
更新时间: | 20230404 |
事件名称: | HTTP_僵尸网络_Andromeda_连接 |
安全类型: | 木马后门 |
事件描述: | 检测到僵尸网络Andromeda试图连接远程服务器,源IP所在的主机可能被植入了Andromeda。Andromeda是一个模块化的僵尸网络,最原始的文件仅包含一个加载器。运行期间,会从C&C服务器下载各类模块,同时也具有反虚拟机和反调试的功能。 |
更新时间: | 20230404 |
事件名称: | HTTP_漏洞利用_命令执行_宏电H8922[CVE-2021-28150][CNNVD-202105-280] |
安全类型: | 安全漏洞 |
事件描述: | 检测到源IP主机正在利用目的IP主机宏电H8922路由器的tools.cgi里的漏洞进行远程命令执行攻击。H8922是深圳市宏电技术股份有限公司的一款工业路由器,利2G/3G/4G无线网络为用户提供无线长距离数据传输功能,主要应用于金融、交通、电力、环保、工业自动化、商业连锁等行业。HongdianH89223.0.5里的tools.cgi存在安全漏洞,该漏洞允许非特权用户通过默认用户进入后台执行任意系统命令。 |
更新时间: | 20230404 |
京公网安备11010802024551号