每周升级公告-2021-12-28

发布时间 2021-12-28

新增事件


事件名称:

TCP_NSA_EternalBlue_(永恒之蓝)_SMB漏洞开始利用[MS17-010][CNNVD-201703-726]

安全类型:

缓冲溢出

事件描述:

检测到源IP对目的主机进行MS17-010漏洞利用的行为,该阶段为漏洞利用的初始阶段。微软Windows是MicroSoft发布的非常流行的操作系统。如果攻击者向微软服务器发送经精心构造的畸形请求包,可以获取目标服务器的系统权限,并且完全控制目标系统。攻击者开始进行MS17-010漏洞利用,在本机存在漏洞的情况下,在利用完成后攻击者可能完全控制主机。

更新时间:

20211228


事件名称:

TCP_安全漏洞_Spring-Data-REST-PATCH请求_远程实行代码[CVE-2017-8046]

安全类型:

代码实行

事件描述:

2017921日,流行的Java框架spring被发现一个高危漏洞,漏洞CVE编号为CVE-2017-8046。黑客可以利用该漏洞远程实行命令,使用了spring框架的业务存在高安全风险。SpringDataRestSpringData框架的其中一个组件,SpringDataRest可构建RestWebSpringDataRestPATCH方法处理不当,导致攻击者能够利用JSON数据造成RCE。本质还是因为SpringSPEL解析导致的RCE

更新时间:

20211228

 

事件名称:

HTTP_代码实行_Intellian_Satellian_Aptus_Web远程代码实行[CVE-2020-7980]

安全类型:

代码实行

事件描述:

Intellian Satellian Aptus Web 是一个控制台系统。在Intellian Aptus Web 1.24 之前的版本中存在远程命令实行漏洞,允许远程攻击者通过 JSON 数据中的 Q 字段向/cgi-bin/libagent.cgi 实行任意 OS 命令。

更新时间:

20211228

 

事件名称:

HTTP_命令实行_Alcatel-Lucent_OmniPCX_远程命令实行漏洞[CVE-2007-3010][CNNVD-200709-257]

安全类型:

命令实行

事件描述:

检测到源ip主机正在利用AlcatelR7.1版本以前的漏洞进行命令实行;Alcatel_OmniPCXEnterprise是一种针对大中型企业、宾馆、呼叫中心的集成交互式通信解决方案。该解决方案将传统的电话功能和对基于因特网的语音通信及多媒体通信的支撑相结合。AlcatelOmniPCXEnterprise是基于业界标准的开放型、分布式通信服务器,适用于大中型企业的通信业务。

更新时间:

20211228


事件名称:

HTTP_安全漏洞_DedeCMS_信息泄露漏洞[CVE-2018-6910][CNNVD-201802-949]

安全类型:

敏感信息泄露

事件描述:

DesdevDedeCMS(织梦内容管理系统)是中国卓卓网络(Desdev)科技有限企业的一套开源的集内容发布、编辑、管理检索等于一体的PHP网站内容管理系统(CMS)。DesdevDedeCMS5.7版本中存在信息泄露漏洞。远程攻击者可通过对include/downmix.inc.phpinc/inc_archives_functions.php文件发送接请求利用该漏洞获取完整路径。

更新时间:

20211228


事件名称:

HTTP_安全漏洞_Apache_Druid_LoadData_任意文件读取漏洞[CVE-2021-36749][CNNVD-202109-1676]

安全类型:

文件读取

事件描述:

ApacheDruid是一个实时分析型数据库,旨在对大型数据集进行快速的查询分析。在ApacheDruid系统中,InputSource用于从某个数据源读取数据。由于没有对用户可控的HTTPInputSource做限制,ApacheDruid允许经过身份验证的用户以Druid服务器进程的权限从指定数据源读取数据,包括本地文件系统。攻击者可通过将文件URL传递给HTTPInputSource来绕过应用程序级别的限制。由于ApacheDruid默认情况下缺乏授权认证,攻击者可构造恶意请求,在未授权情况下利用该漏洞读取任意文件,最终导致服务器敏感信息泄露。

更新时间:

20211228

 

事件名称:

HTTP_安全漏洞_WordPress_未授权访问[CVE-2019-17671][CNNVD-201910-1180]

安全类型:

非授权访问/权限绕过

事件描述:

检测到源ip正在利用WordPress5.2.3以前的漏洞,进行未授权的秘密文件访问

更新时间:

20211228


事件名称:

HTTP_安全漏洞_DedeCMS_前台任意用户密码修改漏洞

安全类型:

逻辑/设计错误

事件描述:

DedeCms是免费的PHP网站内容管理系统。DedeCMS在用户密码重置功能处,php存在弱类型比较,导致如果用户没有设置密保问题的情况下,攻击者可以绕过验证密保问题,直接修改密码(管理员账户默认不设置密保问题)

更新时间:

20211228

 

事件名称:

HTTP_安全漏洞_DedeCMS_前台文件上传漏洞

安全类型:

文件上传

事件描述:

DedeCms是免费的PHP网站内容管理系统。DedeCms在用户发布文章上传图片处存在文件上传漏洞,该漏洞源于对上传文件后缀检测不严谨,可导致黑客上传恶意文件控制主机。

更新时间:

20211228


事件名称:

HTTP_安全漏洞_Phpcms_install.php_前台Getshell

安全类型:

配置不当/错误

事件描述:

检测到源ip可能存在正在利用目的ipPhpcms上未删除的install.php进行恶意攻击的行为,目前规则无法准确判断是否为恶意攻击。PHPCMS是开源的整站系统。PHPCMS存在PHPCMS_v2008_preview.php注入漏洞,攻击者利用此漏洞窃取敏感信息,获取数据库和管理员权限。

更新时间:

20211228

 

事件名称:

HTTP_安全漏洞_ADSelfService-Plus未授权_任意代码实行[CVE-2021-40539][CNNVD-202109-330]

安全类型:

代码实行

事件描述:

ZOHOManageEngineADSelfServicePlus是美国卓豪(ZOHO)企业的针对ActiveDirectory和云应用程序的集成式自助密码管理和单点登录解决方案。ZohoManageEngineADSelfServicePlus6113版本及更早版本存在授权问题漏洞,该漏洞源于App很容易绕过RESTAPI认证,从而导致远程代码实行。

更新时间:

20211228

 

事件名称:

HTTP_Spring-api-actuator相关文件_敏感文件访问

安全类型:

敏感信息泄露

事件描述:

SpringBoot官方提供了spring-boot-starter-actuator场景启动器用于系统的监控管理,可以通过HTTPJMXSSH协议来进行操作,自动得到审计、健康及指标信息等。相关文件皆为敏感文件,未做访问权限控制将导致信息泄露。

更新时间:

20211228


事件名称:

HTTP_Swagger-api工具_敏感文件访问

安全类型:

敏感信息泄露

事件描述:

Swagger是一款RESTFUL接口的、基于YAMLJSON语言的文档在线自动生成、代码自动生成的工具。spring框架中也会使用Swaggerspringfox-swagger22.4springfox-swagger-ui2.4),相关文件夹被访问有信息泄露风险。

更新时间:

20211228

 

事件名称:

HTTP_安全漏洞_Seowon-Intech-SWC-9100-Routers_命令实行[CVE-2013-7179][CNNVD-201402-022]

安全类型:

命令实行

事件描述:

SeowonIntechSWC-9100Routers是韩国瑞元殷特(SeowonIntech)企业的一款无线路由器产品。SeowonIntechSWC-9100路由器中的cgi-bin/diagnostic.cgi文件中的ping功能中存在输入验证漏洞。远程攻击者可借助‘ping_ipaddr’参数中的shell元字符利用该漏洞实行任意命令。

更新时间:

20211228

 

事件名称:

DNS_木马_可疑矿池主域名解析请求7

安全类型:

挖矿App

事件描述:

检测到可疑挖矿木马试图连接域名服务器解析矿池地址。源IP所在的主机可能被植入了挖矿木马。挖矿木马尝试连接矿池,运行后使受害主机变慢,消耗CPU资源。如果为用户正常访问矿池主页,则忽略该事件。

更新时间:

20211228

 

事件名称:

HTTP_安全漏洞_微软Office_远程代码实行漏洞[CVE-2021-40444][CVE-2021-40444][CNNVD-202109-350]

安全类型:

文件下载

事件描述:

检测到源ip所在的主机正在利用CVE-2021-40444下载恶意程序,事件检测响应包特征。CVE-2021-40444是一个在20219月被爆出的在野利用的漏洞,用户只需要双击实行docx文件或使用ie访问恶意网站,即可实行恶意程序。该漏洞位于WindowsMSHML组件,MSHML组件是MicroSoftIE浏览器的排版引擎,也可以在office程序中呈现web页面。MSHTML提供了COM接口,任何支撑COM的环境都可以通过该组件访问、编辑网页。

更新时间:

20211228


修改事件


事件名称:

HTTP_可疑行为_Apache_Log4j_嵌套使用内置lookup格式字符串

安全类型:

命令实行

事件描述:

ApacheLog4j是一个用于Java的日志记录库,其支撑启动远程日志服务器。此事件代表发现了源IP主机发送了满足内置lookup格式的字符串,当目的IP主机后端接收到此格式的字符串时,会自动调用lookup功能。此事件检测的是嵌套使用lookup记号的行为,此行为具有一定风险,可能会被攻击者滥用,如绕过WAF检测,并进行非预期的jndi调用。

更新时间:

20211228

 

事件名称:

TCP_可疑行为_Apache_Log4j_嵌套使用内置lookup格式字符串

安全类型:

命令实行

事件描述:

ApacheLog4j是一个用于Java的日志记录库,其支撑启动远程日志服务器。此事件代表发现了源IP主机发送了满足内置lookup格式的字符串,当目的IP主机后端接收到此格式的字符串时,会自动调用lookup功能。此事件检测的是嵌套使用lookup记号的行为,此行为具有一定风险,可能会被攻击者滥用,如绕过WAF检测,并进行非预期的jndi调用。

更新时间:

20211228