每周升级通告-2022-11-08

宣布时间 2022-11-08
新增事务

 

事务名称:

HTTP_可疑行为_疑似会见恶意JNDI效劳_JNDIExploit工具

清静类型:

清静误差

事务形貌:

检测到疑似会见JNDIExploit工具天生的恶意JNDI效劳地点,,,,,,可能正在遭受java反序列化攻击。。。。

更新时间:

20221108

 

事务名称:

TCP_提权攻击_Apache_Batik_代码执行[CVE-2022-40146]

清静类型:

清静误差

事务形貌:

检测到源ip正在使用ApacheBatik全版本中保存的代码执行误差,,,,,,从而获取目的主机的权限。。。。Batik是一个基于Java的工具包,,,,,,适用于希望将可缩放矢量图形(SVG)名堂的图像用于种种目的(例如显示、天生或操作)的应用程序或小程序。。。。

更新时间:

20221108

 

事务名称:

HTTP_文件操作攻击_SiteServerCMS_文件下载[CVE-2022-36226]

清静类型:

清静误差

事务形貌:

SiteServerCMS5.0版本保存一个远程模板文件下载误差。。。。该误差是由于后台模板下载位置未对用户权限举行校验,,,,,,且ajaxOtherService中的downloadUrl参数可控,,,,,,攻击者可使用该误差,,,,,,远程植入webshell。。。。

更新时间:

20221108

 

事务名称:

HTTP_提权攻击_ScriptEngineManager_SnakeYAML反序列化使用链_代码执行

清静类型:

清静误差

事务形貌:

检测到源ip正在使用SnakeYAMLScriptEngineManager反序列化使用链举行攻击,,,,,,从而获取目的系统权限。。。。SnakeYaml是Java用于剖析Yaml(YetAnotherMarkupLanguage)名堂数据的类库,,,,,,它提供了dump要领可以将一个Java工具转为Yaml名堂字符串,其load要领也能够将Yaml字符串转为Java工具。。。。

更新时间:

20221108

 

事务名称:

HTTP_提权攻击_JdbcRowSetImpl_SnakeYAML反序列化使用链_代码执行

清静类型:

清静误差

事务形貌:

检测到源ip正在使用SnakeYAML的JdbcRowSetImpl反序列化使用链举行攻击,,,,,,从而获取目的系统权限。。。。SnakeYaml是Java用于剖析Yaml(YetAnotherMarkupLanguage)名堂数据的类库,,,,,,它提供了dump要领可以将一个Java工具转为Yaml名堂字符串,其load要领也能够将Yaml字符串转为Java工具。。。。

更新时间:

20221108

 

事务名称:

HTTP_提权攻击_XBean_SnakeYAML反序列化使用链_代码执行

清静类型:

清静误差

事务形貌:

检测到源ip正在使用XBean反序列化使用链举行攻击,,,,,,从而获取目的系统权限。。。。SnakeYaml是Java用于剖析Yaml(YetAnotherMarkupLanguage)名堂数据的类库,,,,,,它提供了dump要领可以将一个Java工具转为Yaml名堂字符串,其load要领也能够将Yaml字符串转为Java工具。。。。

更新时间:

20221108

 

事务名称:

HTTP_提权攻击_JndiRefForwardingDataSource_SnakeYAML反序列化使用链_代码执行

清静类型:

清静误差

事务形貌:

检测到源ip正在使用CP30JndiRefForwardingDataSource反序列化使用链举行攻击,,,,,,从而获取目的系统权限。。。。SnakeYaml是Java用于剖析Yaml(YetAnotherMarkupLanguage)名堂数据的类库,,,,,,它提供了dump要领可以将一个Java工具转为Yaml名堂字符串,其load要领也能够将Yaml字符串转为Java工具。。。。

更新时间:

20221108

 

事务名称:

HTTP_提权攻击_WrapperConnectionPoolDataSource_SnakeYAML反序列化使用链_代码执行

清静类型:

清静误差

事务形貌:

检测到源ip正在使用CP30WrapperConnectionPoolDataSource反序列化使用链举行攻击,,,,,,从而获取目的系统权限。。。。SnakeYaml是Java用于剖析Yaml(YetAnotherMarkupLanguage)名堂数据的类库,,,,,,它提供了dump要领可以将一个Java工具转为Yaml名堂字符串,其load要领也能够将Yaml字符串转为Java工具。。。。

更新时间:

20221108

 

事务名称:

HTTP_提权攻击_Resource_SnakeYAML反序列化使用链_代码执行

清静类型:

清静误差

事务形貌:

检测到源ip正在使用Resource反序列化使用链举行攻击,,,,,,从而获取目的系统权限。。。。SnakeYaml是Java用于剖析Yaml(YetAnotherMarkupLanguage)名堂数据的类库,,,,,,它提供了dump要领可以将一个Java工具转为Yaml名堂字符串,其load要领也能够将Yaml字符串转为Java工具。。。。

更新时间:

20221108

 

事务名称:

HTTP_可疑行为_远程下令执行(通过参数传输)

清静类型:

清静误差

事务形貌:

检测到源IP主机正在通过HTTP请求的参数向目的IP发送疑似带有远程下令执行要害字的请求。。。。

更新时间:

20221108

 

事务名称:

HTTP_可疑行为_远程下令执行(通过参数传输)

清静类型:

清静误差

事务形貌:

检测到源IP主机正在通过HTTP请求的参数向目的IP发送疑似带有远程下令执行要害字的请求。。。。

更新时间:

20221108

 

修改事务

 

事务名称:

HTTP_提权攻击_Oracle_WebLogic_反序列化_代码执行[CVE-2019-2725/CVE-2019-2729]

清静类型:

清静误差

事务形貌:

此误差是由于应用在处置惩罚反序列化输入信息时保存缺陷,,,,,,攻击者可以通过发送全心结构的恶意HTTP请求,,,,,,用于获得目的效劳器的权限,,,,,,并在未授权的情形下执行远程下令,,,,,,最终获取效劳器的权限。。。。CVE-2019-2729是CVE-2019-2725的绕过。。。。受影响版本为:OracleWebLogicServer,versions10.3.6.0.0,12.1.3.0.0,12.2.1.3.0

更新时间:

20221108

 

事务名称:

TCP_提权攻击_Jackson_Databind_反序列化_代码执行[CVE-2019-14379]

清静类型:

清静误差

事务形貌:

Jackson是一个能够将java工具序列化为JSON字符串,,,,,,也能够将JSON字符串反序列化为java工具的框架。。。。攻击者可能使用jackson的可疑反序列化类ehcache攻击目的IP主机。。。。

更新时间:

20221108

 

事务名称:

HTTP_提权攻击_Apache_Shiro_v1.7.1以下_权限绕过[CVE-2020-17523][CNNVD-202102-238]

清静类型:

清静误差

事务形貌:

检测到源ip正在使用ApacheShiro1.7.1之前版本保存的权限绕过误差,,,,,,从而在未授权的情形下绕过shiro的权限校验会见到敏感内容。。。。ApacheShiro是一个强盛且易用的Java清静框架,,,,,,它可以用来执行身份验证、授权、密码和会话治理。。。。现在常见集成于种种应用中举行身份验证,,,,,,授权等

更新时间:

20221108

 

事务名称:

HTTP_清静审计_可疑UA

清静类型:

清静审计

事务形貌:

检测到源IP地点的主机正在使用WEB扫描工具(如:sqlmap、nessus等)对目的IP地点举行误差扫描。。。。WEB扫描器通常是攻击者用来做效劳扫描、误差测试等。。。。通过误差扫描,,,,,,可以自动快速探测一些常见误差情形,,,,,,当保存误差时便于后续举行使用攻击。。。。

更新时间:

20221108

 

事务名称:

HTTP_木马后门_Win32.Zebrocy.Downloader(APT28)_毗连

清静类型:

木马后门

事务形貌:

检测到Zebrocy试图毗连远程效劳器。。。。源IP所在的主机可能被植入了Zebrocy。。。。Zebrocy是APT28组织使用的工具,,,,,,包括3个组件。。。。其中两个基于Delphi、AutoIT的下载者木马,,,,,,另一个是基于Delphi的后门,,,,,,本事务是针对下载者木马的检测。。。。APT28是具有俄罗斯配景的APT组织,,,,,,也被称为Sofacy、FancyBear、Sednit、TsarTeam等。。。。

更新时间:

20221108

 

事务名称:

HTTP_文件操作攻击_Coppermine_Photo_Gallery_目录遍历

清静类型:

CGI攻击

事务形貌:

检测到源IP主机正在使用CopperminePhotoGallery中保存的目录遍历误差举行攻击的行为。。。。CopperminePhotoGallery(CPG)是Coppermine团队开发的一套基于Web的相册治理系统。。。。该系统提供用户治理、相册密码会见限制和自动天生缩略图等功效。。。。CopperminePhotoGallery的1.5.44及之前版本的pic_editor.php保存目录遍历误差。。。。该误差源于程序没有准确检查用户的输入。。。。远程攻击者可借助目录遍历字符‘../'、‘..%2f..%2f’使用该误差读取恣意文件。。。。允许远程攻击者读取恣意文件

更新时间:

20221108

 

事务名称:

TCP_提权攻击_WebLogic_Blind_XXE注入[CVE-2020-14820][CNNVD-202010-994]

清静类型:

注入攻击

事务形貌:

检测到源IP主机正在使用WebLogicBlindXXE注入误差对目的主机举行攻击的行为,,,,,,该误差主要影响Weblogic10.3.6.0.0Weblogic12.1.3.0.0Weblogic12.2.1.3.0Weblogic12.2.1.4.0Weblogic14.1.1.0.0版本,,,,,,通过该误差,,,,,,攻击者可以在未授权的情形下将payload封装在T3或IIOP协议中,,,,,,通过对协议中的payload举行反序列化,,,,,,从而实现对保存误差的WebLogic组件举行远程BlindXXE攻击。。。。

更新时间:

20221108

 

事务名称:

HTTP_提权攻击_ThinkCMF_代码执行

清静类型:

清静误差

事务形貌:

ThinkCMF是一款基于ThinkPHP+MySQL开发的开源中文内容治理框架。。。。远程攻击者在无需任何权限情形下,,,,,,可使用此误差结构恶意的url,,,,,,向效劳器写入恣意内容的文件,,,,,,抵达远程代码执行的目的。。。。影响版本ThinkCMFX1.6.0,,,,,,ThinkCMFX2.1.0,,,,,,ThinkCMFX2.2.0,,,,,,ThinkCMFX2.2.1,,,,,,ThinkCMFX2.2.2,,,,,,ThinkCMFX2.2.3。。。。

更新时间:

20221108

 

事务名称:

HTTP_提权攻击_WebSVN_远程下令执行[CVE-2021-32305]

清静类型:

清静误差

事务形貌:

检测到源ip正在通过WebSVN的search.php页面结构恣意下令举行攻击,,,,,,从而下载恶意文件或执行恶意下令。。。。WebSVN是一个基于Web的SubversionRepository浏览器,,,,,,可以审查文件或文件夹的日志,,,,,,审查文件的转变列表等。。。。

更新时间:

20221108

 

事务名称:

TCP_木马后门_Win32/Linux_ircBot_毗连

清静类型:

其他事务

事务形貌:

检测到ircBot试图毗连远程效劳器。。。。源IP所在的主机可能被植入了ircBot。。。。ircBot是基于irc协议的僵尸网络,,,,,,主要功效是对指定目的主机提倡DDoS攻击。。。。唬唬还可以下载其他病毒到被植入机械。。。。对指定目的主机提倡DDoS攻击。。。。

更新时间:

20221108

 

事务名称:

HTTP_清静误差_ToTolink_N600R路由器_Exportovpn_未授权下令注入

清静类型:

清静误差

事务形貌:

检测到源IP主机正试图通过ToTolinkN600R路由器Exportovpn下令注入误差攻击目的IP主机。。。。在ToTolinkN600R路由器的cstecgi.cgi文件中,,,,,,exportovpn接口保存下令注入,,,,,,攻击者可借此未验证远程执行恶意下令。。。。

更新时间:

20221108

 

事务名称:

HTTP_清静误差_若依CMS_远程下令执行误差

清静类型:

清静误差

事务形貌:

若依后台治理系统使用了snakeyaml的jar包,,,,,,snakeyaml是用来剖析yaml的名堂,,,,,,可用于Java工具的序列化、反序列化。。。。由于若依后台妄想使命处,,,,,,关于传入的"挪用目的字符串"没有任何校验,,,,,,导致攻击者可以结构payload远程挪用jar包,,,,,,从而执行恣意下令。。。。

更新时间:

20221108