首页 > 技术支持 > 升级公告 > 每周升级公告

每周升级公告-2023-04-25

发布时间 2023-04-25

新增事件


事件名称:

HTTP_反序列化_Spring_Boot_Actuator_Snakeyaml_远程代码执行

安全类型:

安全漏洞

事件描述:

检测到源ip正在利用Actuator的/env接口设置属性将spring.cloud.bootstrap.location设置为恶意yaml文件URL地址。
SpringBootActuator是一款可以帮助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集成功能,可以查看应用配置的详细信息。通过设置SpringBootActuator的spring.cloud.bootstrap.location属性,可导致触发sankeyaml反序列化漏洞,从而造成恶意代码执行。

更新时间:

20230425


事件名称:

HTTP_漏洞利用_Spring_Boot_logging.config_logback_代码执行

安全类型:

安全漏洞

事件描述:

检测到源ip正在利用Actuator的/env接口设置属性将logging.config设置为恶意xml文件地址。
SpringBootActuator是一款可以帮助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集成功能,可以查看应用配置的详细信息。在SpringBootActuator中可以通过logging.config属性设置logback日志配置文件URL地址,如果url地址为xml格式文件,可以通过解析xml文件利用logback依赖的insertFormJNDI标签造成JNDI注入。

更新时间:

20230425


事件名称:

HTTP_漏洞利用_文件包含_spring-boot-actuator-logview[CVE-2021-21234][CNNVD-202101-261]

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用spring-boot-actuator-logview文件包含漏洞攻击目的IP主机的行为。spring-boot-actuator-logview是一个简单的日志文件查看器作为SpringBoot执行器端点,在0.2.12及之前版本中存在着文件包含漏洞,编号CVE-2021-21234。漏洞本质是SpringBoot执行器通过请求的参数来指定文件名和文件夹路径,经过组合拼接达到目录遍历,虽然源码中检查了文件名(filename)参数来防止目录遍历,但是没有检查文件夹(base)参数,造成了攻击者可以进行目录遍历。

更新时间:

20230425


事件名称:

DNS_木马后门_AgentTesla_C2域名解析请求

安全类型:

木马后门

事件描述:

检测到试图请求解析AgentTesla的C2域名。源IP所在的主机可能被植入了AgentTesla Keylogger。
AgentTesla Keylogger是一个功能强大的窃密木马,2014年,首次出现在一个土耳其语网站上。如今,Agent Tesla 历经多次代码改进,功能不断增强,已经成为能够盗取浏览器、FTP、VPN、邮箱和 WIFI 等多种敏感信息的专业窃密软件。

更新时间:

20230425


事件名称:

HTTP_提权攻击_CommonsConfiguration_SnakeYAML反序列化利用链_代码执行

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用目的主机snakeyaml CommonsConfiguration jndi注入漏洞。
SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式数据的类库,它提供了dump方法可以将一个Java对象转为Yaml格式字符串。通过构造恶意yaml格式数据,可以造成jndi注入,从而控制服务器。

更新时间:

20230425


事件名称:

DNS_命令控制_木马后门_Sality感染型病毒_域名解析请求

安全类型:

木马后门

事件描述:

检测到源主机正在尝试解析 Sality感染型病毒 的恶意域名,源主机可能已经被植入 Sality感染型病毒。Sality 能够在Windows操作系统的计算机上进行自我复制和传播,同时还能够进行远程控制和信息窃取。Sality病毒的传播方式非常灵活,可以通过各种方式进行传播,例如利用可移动设备、通过文件共享软件、电子邮件等方式。

更新时间:

20230425


事件名称:

HTTP_命令与控制_远控后门_FiveSys_连接C2服务器

安全类型:

木马后门

事件描述:

检测到FiveSys木马后门试图连接远程服务器。FiveSys木马主要功能是将使用者流量导引到特定恶意代理服务器;FiveSys目的是在用户连接线上游戏时,将用户流量导向代理服务器时,借此拦截、窃取用户帐密等验证信息。

更新时间:

20230425


事件名称:

HTTP_漏洞利用_文件下载_RuoYi后台管理系统[CVE-2023-27025][CNNVD-202304-021]

安全类型:

安全漏洞

事件描述:

Ruoyi在v4.7.6及以下版本中存在任意文件下载漏洞,经过身份认证的攻击者可以利用定时任务下载任意文件。如果系统未对读取/下载文件的文件目录做限制,攻击者利用此漏洞可直接读取web目录下任意文件,比如配置文件、数据库文件等,甚至直接获取服务器上任意文件内容。Ruoyi后台管理系统是基于SpringBoot的权限管理系统。

更新时间:

20230425


事件名称:

HTTP_提权攻击_JndiRefForwardingDataSource_SnakeYAML反序列化利用链_代码执行

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用目的主机snakeyaml JndiRefForwardingDataSource jndi注入漏洞。
SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式数据的类库,它提供了dump方法可以将一个Java对象转为Yaml格式字符串。通过构造恶意yaml格式数据,可以造成jndi注入,从而控制服务器。

更新时间:

20230425


事件名称:

HTTP_漏洞利用_Spring_Boot_spring.main.sources_groovy_代码执行

安全类型:

安全漏洞

事件描述:

检测到源ip正在利用Actuator的/env接口设置属性将spring.main.sources设置为恶意groovy文件地址。
SpringBootActuator是一款可以帮助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集成功能,可以查看应用配置的详细信息。在SpringBootActuator中可以通过spring.main.sources属性来设置创建ApplicationContext的额外源的URL地址,如果最后地址以groovy结尾,则最终会执行文件内容中的groovy代码,造成代码执行。

更新时间:

20230425


事件名称:

HTTP_安全漏洞_Spring_Boot_Actuator_datasource_远程代码执行

安全类型:

安全漏洞

事件描述:

检测到源ip正在利用Actuator的/env接口设置属性将spring.datasource.data属性设置为恶意sql文件的URL地址。
SpringBootActuator是一款可以帮助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集成功能,可以查看应用配置的详细信息。通过设置SpringBootActuator的spring.datasource.data属性来设置恶意sql文件的URL地址,通过执行h2的sql语句导致任意代码执行。

更新时间:

20230425


事件名称:

HTTP_反序列化_SnakeYaml_MarshalOutputStream_任意文件写入

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用目的主机snakeyaml MarshalOutputStream 文件写入漏洞。
SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式数据的类库,它提供了dump方法可以将一个Java对象转为Yaml格式字符串,其load方法也能够将Yaml字符串转为Java对象。在其使用load方法将字符串转为MarshalOutputStream对象时,会触发任意文件写入漏洞,攻击者能够写入恶意文件。

更新时间:

20230425


事件名称:

HTTP_安全漏洞_用友NC_uapjs_代码执行

安全类型:

安全漏洞

事件描述:

检测到源ip正在利用用友NC6.5中jsinvoke接口存在的任意方法调用漏洞对目的主机进行攻击的行为。
用友NC 及 NCC系统存在任意方法调用漏洞,通过uapjs (jsinvoke)利用漏洞可调用危险方法造成攻击。用友NC以“全球化集团管控、行业化解决方案、全程化电子商务、平台化应用集成”的管理业务理念而设计,是中国大企业集团管理信息化应用系统的首选。

更新时间:

20230425

 

事件名称:

HTTP_漏洞利用_文件下载_通达OA_video_file.php

安全类型:

安全漏洞

事件描述:

利用MEDIA_DIR与MEDIA_NAME参数值覆盖进行路径穿越并采用http的响应Content-Disposition头字段实现任意文件的下载。

更新时间:

20230425


事件名称:

HTTP_提权攻击_PostgreSQL-JDBC-Driver_远程代码执行[CVE-2022-21724]

安全类型:

安全漏洞

事件描述:

PostgreSQL数据库的jdbc驱动程序中存在一个安全漏洞。当攻击者控制jdbcurl或者属性时,使用PostgreSQL数据库的系统将受到攻击。pgjdbc根据通过authenticationPluginClassName、sslhostnameverifier、socketFactory、sslfactory、sslpasswordcallback连接属性提供类名实例化插件实例。但是,驱动程序在实例化类之前没有验证类是否实现了预期的接口。这可能导致通过任意类加载远程代码执行或文件写入攻击。影响版本:postgresql_jdbc_driver<42.2.25,42.3.0<=postgresql_jdbc_driver<=42.3.1

更新时间:

20230425


修改事件

 

事件名称:

HTTP_提权攻击_ScriptEngineManager_SnakeYAML反序列化利用链_代码执行

安全类型:

安全漏洞

事件描述:

检测到源ip正在利用SnakeYAMLScriptEngineManager反序列化利用链进行攻击,从而获取目标系统权限。SnakeYaml是Java用于解析Yaml(YetAnotherMarkupLanguage)格式数据的类库,它提供了dump方法可以将一个Java对象转为Yaml格式字符串,其load方法也能够将Yaml字符串转为Java对象。

更新时间:

20230425


事件名称:

HTTP_漏洞利用_代码执行_Spring_Boot_H2database_console

安全类型:

安全漏洞

事件描述:

检测到源ip正在利用h2console的默认路由设置为外部恶意jndi服务器地址。H2Database是一个开源的嵌入式数据库引擎,采用java语言编写,不受平台的限制,同时H2Database提供了一个十分方便的web控制台用于操作和管理数据库内容。H2Database还提供兼容模式,可以兼容一些主流的数据库,因此采用H2Database作为开发期的数据库非常方便。

更新时间:

20230425


事件名称:

TCP_提权攻击_Groovy1_Java反序列化利用链_代码执行

安全类型:

安全漏洞

事件描述:

检测到源IP主机正在利用Groovy1的Java反序列化利用链对目的主机进行攻击的行为。ApacheGroovy是一个功能强大的动态编程语言,靠着其简洁、与Java非常相似以及易于学习的语法,基于Java平台的Groovy关注于提高开发者的生产性。它可以和任何Java语言进行无缝集成,支持DSL,提供运行阶段和编译阶段元数据编程等强大的功能。

更新时间:

20230425


事件名称:

HTTP_漏洞利用_文件读取_Grafana_8.3.0[CVE-2021-43798][CNNVD-202112-482]

安全类型:

安全漏洞

事件描述:

检测到源ip正在利用Grafana8.0.0-8.3.0版本中存在的文件读取漏洞,从而在未授权的情况下读取目标系统敏感文件。Grafana是一个跨平台、开源的数据可视化网络应用程序平台。用户配置连接的数据源之后,Grafana可以在网络浏览器里显示数据图表和警告

更新时间:

20230425


事件名称:

HTTP_漏洞利用_代码执行_Spring_Boot_logging.config

安全类型:

安全漏洞

事件描述:

检测到源ip正在利用Actuator的/evn接口通过logging.config参数尝试远程代码执行。SpringBootActuator是一款可以帮助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集成功能,可以查看应用配置的详细信息。

更新时间:

20230425


上一篇 下一篇