每周升级通告-2022-07-05

宣布时间 2022-07-05

新增事


事务名称:

HTTP_清静误差_fastjson_1.2.60_反序列化远程代码执行误差

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用fastjsonJSON反序列化远程代码执行误差对目的主机举行攻击的行为,,,,试图通过传入全心结构的恶意代码或下令来入侵目的IP主机。。FastJson是阿里巴巴的开源JSON剖析库,,,,它可以剖析JSON名堂的字符串,,,,支持将JavaBean序列化为JSON字符串,,,,也可以从JSON字符串反序列化到JavaBean,,,,由于具有执行效率高的特点,,,,应用规模很广。。攻击乐成,,,,可远程执行恣意代码。。

更新时间:

20220705

 

事务名称:

HTTP_清静误差_fastjson_1.2.67_反序列化远程代码执行误差

清静类型:

清静误差

事务形貌:

Fastjson是一个Java库,,,,可以将Java工具转换为JSON名堂,,,,fastjson保存远程代码执行高危清静误差。。攻击者通过发送一个全心结构的JSON序列化恶意代码,,,,当程序执行JSON反序列化的历程中执行恶意代码,,,,从而导致远程代码执行。。

更新时间:

20220705

 

事务名称:

TCP_木马_BeamMiner_挖矿乐成(BEAM)

清静类型:

蠕虫病毒

事务形貌:

检测到矿机向矿池提交挖矿效果的行为。。源IP所在的主机可能被植入了BeamMiner挖矿木马。。BeamMiner是一款挖矿恶意程序,,,,挖矿程序会占用CPU资源,,,,可能导致受害主机变慢。。Beam是基于MimbleWimble协议开发的加密钱币,,,,具有强隐私性、替换性和扩展性。。Beam所有生意都默认是私密的。。新节点加入网络无需同步整个生意历史,,,,可以请求同步只包括系统状态的压缩历史纪录和区块头,,,,从而实现快速同步。。

更新时间:

20220705


事务名称:

TCP_后门_Win32.WarZoneRat_毗连(扫描)

清静类型:

清静扫描

事务形貌:

检测到源IP主机在对目的IP主机举行扫描。。WarZoneRat是一个功效强盛的远控,,,,运行后可完全控制被植入机械。。本事务报警不是真实攻击,,,,仅仅意味着源IP主机在对目的IP主机举行扫描。。源IP一样平常属于Shodan扫描主机,,,,目的IP是客户主机。。源IP主机模拟WarZoneRat样本向目的IP主机发送上线报文,,,,若是收到期望的返回数据,,,,即以为目的IP主机上运行着Gh0st控制端,,,,是WarZoneRatC&C效劳。。Shodan就是通过这种扫描来获取恶意软件的C&C效劳器,,,,除Shodan外,,,,其它一些威胁情报公司的IP主机也在举行着这种扫描。。

更新时间:

20220705


事务名称:

HTTP_清静误差_WordPress-3DPrint-Lite_恣意文件上传

清静类型:

清静误差

事务形貌:

WordPress3DPrintLiteVersion1.9.1.4版本中的3dprint-lite-functions.php文件保存文件上传误差,,,,攻击者通过结构请求包可以上传恣意文件获取效劳器权限。。

更新时间:

20220705


事务名称:

HTTP_清静误差_Webmin_远程下令执行误差[CVE-2019-12840][CNNVD-201906-632]

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用Webmin1.910和更早版本中的update.cgi允许远程经由身份验证的用户执行恣意下令。。Webmin是功效最强盛的基于WebUnix系统治理工具。。治理员通过浏览器会见Webmin的种种治理功效并完成响应的治理行动。。

更新时间:

20220705


事务名称:

TCP_Java反序列化_CommonsCollections11_使用链攻击

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用CommonsCollections11Java反序列化使用链对目的主机举行攻击的行为。。若会见的应用保存误差JAVA反序列化误差且使用了CommonsCollections3.1-3.2.1,,,,攻击者可以发送全心结构的Java序列化工具,,,,远程执行恣意代码或下令。。远程执行恣意代码,,,,获取系统控制权。。

更新时间:

20220705


事务名称:

TCP_可疑行为_URLClassLoader远程加载恶意类

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用URLClassLoaderJava远程加载恶意类对目的主机举行攻击的行为。。攻击者可以发送全心结构的Javapayload,,,,远程加载恶意类执行恣意代码或下令。。远程执行恣意代码,,,,获取系统控制权。。

更新时间:

20220705


事务名称:

TCP_可疑行为_JNDI远程加载恶意类

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用JNDIlookup要领远程加载恶意类对目的主机举行攻击的行为。。攻击者可以发送全心结构的Javapayload,,,,远程加载恶意类执行恣意代码或下令。。远程执行恣意代码,,,,获取系统控制权。。

更新时间:

20220705


事务名称:

TCP_可疑行为_Shiro_JNDI远程加载恶意类

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用ShiroJNDIlookup要领远程加载恶意类对目的主机举行攻击的行为。。攻击者可以发送全心结构的Javapayload,,,,远程加载恶意类执行恣意代码或下令。。远程执行恣意代码,,,,获取系统控制权。。

更新时间:

20220705


事务名称:

HTTP_清静误差_万户OA_fileUpload.controller_恣意文件上传误差

清静类型:

清静误差

事务形貌:

万户OA保存一个恣意文件上传误差,,,,攻击者可以通过fileUpload.controller接口上传恶意文件。。

更新时间:

20220705


事务名称:

HTTP_清静误差_通达OA_update.php_文件包括误差

清静类型:

清静误差

事务形貌:

通达OAv11.8以下的版本保存一个文件包括误差。。攻击者可以通过使用PHP.user.ini文件来包括其他恶意文件绕过通达OA的文件上传限制。。

更新时间:

20220705


事务名称:

HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2020-14060][CNNVD-202006-997]

清静类型:

清静误差

事务形貌:

FasterXMLjackson-databind2.x,2.9.10.5版本之前的oadd.org.apache.xalan.lib.sql.JNDIConnectionPool过失地处置惩罚了与oadd相关的序列化gadgets和输入之间的交互

更新时间:

20220705


事务名称:

HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2020-14062][CNNVD-202006-996]

清静类型:

清静误差

事务形貌:

FasterXMLjackson-databind2.x,2.9.10.5版本之前的com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool过失地处置惩罚了与oadd相关的序列化gadgets和输入之间的交互

更新时间:

20220705


事务名称:

HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2020-14195][CNNVD-202006-1070]

清静类型:

清静误差

事务形貌:

FasterXMLjackson-databind2.x,2.9.10.5版本之前的org.jsecurity.realm.jndi.JndiRealmFactory过失地处置惩罚了与oadd相关的序列化gadgets和输入之间的交互

更新时间:

20220705


事务名称:

HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2020-24750][CNNVD-202009-1066]

清静类型:

清静误差

事务形貌:

FasterXMLjackson-databind2.x,2.9.10.5版本之前的com.pastdev.httpcomponents.configuration.JndiConfiguration过失地处置惩罚了与oadd相关的序列化gadgets和输入之间的交互

更新时间:

20220705


事务名称:

HTTP_清静事务_GitLab_远程下令执行[CVE-2018-19571][CVE-2018-19585]

清静类型:

清静误差

事务形貌:

GitLab是一个用于客栈治理系统的开源项目,,,,其使用Git作为代码治理工具,,,,可通过Web界面会见果真或私人项目。。在11.4.7版本之前,,,,该项目保存远程代码执行误差,,,,攻击者可结构恶意payload以获取效劳器权限。。

更新时间:

20220705


事务名称:

HTTP_清静误差_Mitel_MiVoice_Connect_远程代码执行[CVE-2022-29499][CNNVD-202204-4387]

清静类型:

清静误差

事务形貌:

检测到目的ip为攻击者ip,,,,通过源ip保存数据验证不准确的误差,,,,可以通过vtest.phpget_url参数举行外地文件使用,,,,从而使得源ip向目的ip(攻击者)发送敏感信息,,,,或反弹shell,,,,导致进一步攻击。。MitelMiVoiceConnect是加拿大MitelNetworks公司的一款用于集中治理MitelNetworks的呼叫处置惩罚和协作工具的软件。。

更新时间:

20220705


事务名称:

HTTP_小鱼易连视频系统_LUA剧本设置过失_远程下令执行

清静类型:

清静误差

事务形貌:

小鱼易连视频聚会系统LUA剧本权限分派不当,导致恣意用户可使用root权限执行下令,,,,攻击者使用此误差可完全获取系统权限。。

更新时间:

20220705


事务名称:

HTTP_清静误差_中远麒麟_iAudit堡垒机_get_luser_by_sshport.php_远程下令执行误差

清静类型:

清静误差

事务形貌:

中远麒麟iAudit堡垒机get_luser_by_sshport.php文件保存下令拼接,,,,攻击者通过误差可获取效劳器权限。。

更新时间:

20220705


事务名称:

HTTP_清静误差_天融信_TopApp-LB_enable_tool_debug.php_远程下令执行误差

清静类型:

清静误差

事务形貌:

天融信TopSec-LBenable_tool_debug.php文件保存远程下令执行误差,,,,通过下令拼接攻击者可以执行恣意下令。。

更新时间:

20220705


事务名称:

HTTP_清静误差_深信服应用交付治理系统_sys_user.conf_账号密码走漏

清静类型:

CGI攻击

事务形貌:

深信服应用交付治理系统文件sys_user.conf可在未授权的情形下直接会见,,,,导致账号密码走漏。。

更新时间:

20220705


事务名称:

HTTP_清静误差_深信服应用交付报表系统_download.php_恣意文件读取误差

清静类型:

清静误差

事务形貌:

深信服应用交付报表系统download.php文件保存恣意文件读取误差,,,,攻击者通过误差可以下载效劳器恣意文件。。

更新时间:

20220705


事务名称:

HTTP_清静误差_深信服应用交付报表系统_login.php_下令注入误差

清静类型:

清静误差

事务形貌:

深信服应用交付报表系统(4.5以下版本)保存一个下令注入误差,,,,该误差源于对传入的userPswuserID过滤不严谨导致,,,,允许远程攻击者使用特制请求执行恣意下令。。

更新时间:

20220705


事务名称:

HTTP_清静误差_绿盟UTS综合威胁探针_信息泄露

清静类型:

CGI攻击

事务形貌:

绿盟UTS综合威胁探针某个接口未做授权导致未授权会见,,,,其中包括部分账号密码信息,,,,攻击者可使用来举行登录绕过。。

更新时间:

20220705


事务名称:

DNS_可疑行为_GotoHTTP远程毗连工具使用

清静类型:

可疑行为

事务形貌:

Gotohttp是一款远程桌面工具,,,,可能为黑客正在使用。。

更新时间:

20220705


事务名称:

HTTP_清静误差_Microsoft_Exchange_Server_远程代码执行误差[CVE-2020-16875][CNNVD-202009-374]

清静类型:

清静误差

事务形貌:

由于对cmdlet参数的验证不准确,,,,MicrosoftExchange效劳器中保存远程执行代码误差。。乐成使用此误差的攻击者可以在系统用户的上下文中运行恣意代码。。使用此误差需要已通过身份验证的用户具有受到威胁的特定Exchange角色。。此清静更新通过更正MicrosoftExchange处置惩罚cmdlet参数的方法来修复此误差。。

更新时间:

20220705


事务名称:

HTTP_清静误差_CMS-Discuz:X_uc_center后台代码执行

清静类型:

清静误差

事务形貌:

Discuz!ML系统中,,,,通事后台修改Ucenter数据库毗连信息,,,,可将恶意代码写入config/config_ucenter.php文件中,,,,导致代码执行。。

更新时间:

20220705


事务名称:

HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2019-14540][CNNVD-201909-716]

清静类型:

清静误差

事务形貌:

Jackson是目今用的较量普遍的,,,,用来序列化和反序列化jsonJava开源框架。。在2.9.10之前的FasterXMLjackson-databind中由于com.zaxxer.hikari.HikariConfig处置惩罚数据问题,,,,保存反序列化误差

更新时间:

20220705


事务名称:

HTTP_清静误差_CMS_Discuz!X3.4_恣意文件删除配合install历程getshell

清静类型:

清静误差

事务形貌:

Discuz!ML系统装置后未上岸后台时,,,,可使用文件删除误差删掉install.lock文件,,,,绕过对装置完成的判断能够再举行装置的历程,,,,然后将恶意代码写入设置文件中从而执行恣意代码。。

更新时间:

20220705


事务名称:

HTTP_清静误差_Eyoucms_1.4.3_恣意文件写入

清静类型:

清静误差

事务形貌:

EyouCms是基于TP5.0框架为焦点开发的免费+开源的企业内容治理系统,,,,专注企业建站用户需求提供海量各行业模板。。在1.4.3版本以前,,,,该系统中保存恣意文件写入误差,,,,攻击者可结构恶意payload举行文件写入操作。。

更新时间:

20220705


事务名称:

HTTP_木马后门_Covenant_心跳包_毗连C2效劳器

清静类型:

木马后门

事务形貌:

Covenant是一个.NET开发的C2(commandandcontrol)框架,,,,使用.NETCore的开发情形,,,,不但支持Linux,,,,MacOSWindows,,,,还支持docker容器。。Covenant支持动态编译,,,,能够将输入的C#代码上传至C2Server,,,,获得编译后的文件并使用Assembly.Load()从内存举行加载。。该事务批注,,,,Covenant的天生物Grunts正在使专心跳报文与C2效劳器坚持毗连。。

更新时间:

20220705


修改事务

 

事务名称:

HTTP_清静误差_fastjson_1.2.47_反序列化远程代码执行误差

清静类型:

清静误差

事务形貌:

Fastjson是一个Java库,,,,可以将Java工具转换为JSON名堂,,,,fastjson1.2.47以及之前版本保存远程代码执行高危清静误差。。攻击者通过发送一个全心结构的JSON序列化恶意代码,,,,当程序执行JSON反序列化的历程中执行恶意代码,,,,从而导致远程代码执行。。

更新时间:

20220705


事务名称:

HTTP_可疑行为_fastjson_反序列化加载BCEL

清静类型:

清静误差

事务形貌:

Fastjson是一个Java库,,,,可以将Java工具转换为JSON名堂,,,,fastjson1.2.24以及之前版本保存远程代码执行高危清静误差。。攻击者通过发送一个全心结构的JSON序列化恶意代码,,,,当程序执行JSON反序列化的历程中执行恶意代码,,,,从而导致远程代码执行。。

更新时间:

20220705


事务名称:

TCP_后门_Linux.DDoS.Gafgyt_控制下令

清静类型:

其他事务

事务形貌:

检测到Gafgyt效劳器试图发送下令给Gafgyt,,,,目的IP主机被植入了Gafgyt。。DDoS.Gafgyt是一个类Linux平台下的僵尸网络,,,,主要功效是对指定目的机械提倡DDoS攻击。。对指定目的主机提倡DDoS攻击。。

更新时间:

20220705


事务名称:

HTTP_清静误差_fastjson_1.2.45_反序列化远程代码执行误差[CVE-2017-18349]

清静类型:

清静误差

事务形貌:

Fastjson是一个Java库,,,,可以将Java工具转换为JSON名堂,,,,fastjson1.2.24以及之前版本保存远程代码执行高危清静误差。。攻击者通过发送一个全心结构的JSON序列化恶意代码,,,,当程序执行JSON反序列化的历程中执行恶意代码,,,,从而导致远程代码执行。。

更新时间:

20220705


事务名称:

HTTP_清静误差_fastjson_1.2.62_反序列化远程代码执行误差

清静类型:

清静误差

事务形貌:

检测到源IP主机正在使用fastjsonJSON反序列化远程代码执行误差对目的IP主机举行攻击的行为,,,,试图通过传入全心结构的恶意代码或下令来入侵目的IP主机。。FastJson是阿里巴巴的开源JSON剖析库,,,,它可以剖析JSON名堂的字符串,,,,支持将JavaBean序列化为JSON字符串,,,,也可以从JSON字符串反序列化到JavaBean,,,,由于具有执行效率高的特点,,,,应用规模很广。。攻击乐成,,,,可远程执行恣意代码。。

更新时间:

20220705


事务名称:

HTTP_通用_目录穿越误差[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]

清静类型:

清静误差

事务形貌:

检测到源IP主机正在实验对目的IP主机举行目录穿越误差攻击实验的行为。。目录穿越误差能使攻击者绕过Web效劳器的会见限制,,,,对web根目录以外的文件夹,,,,恣意地读取甚至写入文件数据。。此规则是一条通用规则,,,,其他误差(甚至一些0day误差)攻击的payload也有可能触发此事务报警。。由于正常营业中一样平常不会爆发此事务特征的流量,,,,以是需要重点关注。。允许远程攻击者会见敏感文件。。

更新时间:

20220705


事务名称:

HTTP_通达OA_恣意文件上传/文件包括误差

清静类型:

清静误差

事务形貌:

通达OA是一套办公系统。。由于通达OA中保存的两枚误差(文件上传误差,,,,文件包括误差),,,,攻击者可通过这两枚误差实现远程下令执行。。/ispirit/im/upload.php保存绕过登录(恣意文件上传误差),,,,连系gateway.php处保存的文件包括误差,,,,最终导致getshell。。

更新时间:

20220705


事务名称:

HTTP_可疑行为_Fastjson_dnslog探测

清静类型:

清静审计

事务形貌:

检测到源ip正在使用dnslog探测主机后端是否是fastjson;;

更新时间:

20220705


事务名称:

HTTP_可疑行为_Fastjson误差_编码使用

清静类型:

可疑行为

事务形貌:

FastJson是阿里巴巴的开源JSON剖析库,,,,它可以剖析JSON名堂的字符串,,,,支持将JavaBean序列化为JSON字符串,,,,也可以从JSON字符串反序列化到JavaBean,,,,由于具有执行效率高的特点,,,,应用规模很广。。攻击乐成,,,,可远程执行恣意代码。。fastjson可接受并剖析hex编码内容,,,,因此攻击者可使用hex编码绕过检测装备。。

更新时间:

20220705


事务名称:

TCP_僵尸网络_BlackMoon_毗连

清静类型:

其他事务

事务形貌:

检测到BlackMoon远控试图毗连远程效劳器,,,,源IP所在的主机可能被植入了僵尸网络BlackMoon。。BlackMoon主要功效是对指定目的提倡DDoS攻击,,,,通过关联剖析发明,,,,该BlackMoon僵尸网络撒播方法之一是借助独狼(Rovnix)僵尸网络举行撒播。。独狼僵尸网络通过带毒激活工具(狂风激活、小马激活、KMS等)举行撒播,,,,常被用来推广病毒和流氓软件。。

更新时间:

20220705