东森平台

首页 > 技术支持 > 升级通告 > 每周升级通告

每周升级通告-2022-07-05

宣布时间 2022-07-05

新增事件

事件名称：	HTTP_宁静漏洞_fastjson_1.2.60_反序列化远程代码执行漏洞
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在利用fastjsonJSON反序列化远程代码执行漏洞对目的主机进行攻击的行为，试图通过传入精心结构的恶意代码或命令来入侵目的IP主机。FastJson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，由于具有执行效率高的特点，应用范围很广。攻击乐成，可远程执行任意代码。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_fastjson_1.2.67_反序列化远程代码执行漏洞
宁静类型：	宁静漏洞
事件描述:	Fastjson是一个Java库，可以将Java工具转换为JSON格式，fastjson存在远程代码执行高危宁静漏洞。攻击者通过发送一个精心结构的JSON序列化恶意代码，当法式执行JSON反序列化的过程中执行恶意代码，从而导致远程代码执行。
更新时间：	20220705

事件名称：	TCP_木马_BeamMiner_挖矿乐成(BEAM)
宁静类型：	蠕虫病毒
事件描述:	检测到矿机向矿池提交挖矿结果的行为。源IP所在的主机可能被植入了BeamMiner挖矿木马。BeamMiner是一款挖矿恶意法式，挖矿法式会占用CPU资源，可能导致受害主机变慢。Beam是基于MimbleWimble协议开发的加密货币，具有强隐私性、替代性和扩展性。Beam所有交易都默认是私密的。新节点加入网络无需同步整个交易历史，可以请求同步只包罗系统状态的压缩历史记录和区块头，从而实现快速同步。
更新时间：	20220705

事件名称：	TCP_后门_Win32.WarZoneRat_连接(扫描)
宁静类型：	宁静扫描
事件描述:	检测到源IP主机在对目的IP主机进行扫描。WarZoneRat是一个功效强大的远控，运行后可完全控制被植入机器。本事件报警不是真实攻击，仅仅意味着源IP主机在对目的IP主机进行扫描。源IP一般属于Shodan扫描主机，目的IP是客户主机。源IP主机模仿WarZoneRat样本向目的IP主机发送上线报文，如果收到期望的返回数据，即认为目的IP主机上运行着Gh0st控制端，是WarZoneRat的C&C服务。Shodan就是通过这种扫描来获取恶意软件的C&C服务器，除Shodan外，其它一些威胁情报公司的IP主机也在进行着这种扫描。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_WordPress-3DPrint-Lite_任意文件上传
宁静类型：	宁静漏洞
事件描述:	WordPress3DPrintLiteVersion1.9.1.4版本中的3dprint-lite-functions.php文件存在文件上传漏洞，攻击者通过结构请求包可以上传任意文件获取服务器权限。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_Webmin_远程命令执行漏洞[CVE-2019-12840][CNNVD-201906-632]
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在利用Webmin1.910和更早版本中的update.cgi允许远程经过身份验证的用户执行任意命令。Webmin是功效最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的种种管理功效并完成相应的管理行动。
更新时间：	20220705

事件名称：	TCP_Java反序列化_CommonsCollections11_利用链攻击
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在利用CommonsCollections11的Java反序列化利用链对目的主机进行攻击的行为。若访问的应用存在漏洞JAVA反序列化漏洞且使用了CommonsCollections3.1-3.2.1，攻击者可以发送精心结构的Java序列化工具，远程执行任意代码或命令。远程执行任意代码，获取系统控制权。
更新时间：	20220705

事件名称：	TCP_可疑行为_URLClassLoader远程加载恶意类
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在利用URLClassLoader的Java远程加载恶意类对目的主机进行攻击的行为。攻击者可以发送精心结构的Javapayload，远程加载恶意类执行任意代码或命令。远程执行任意代码，获取系统控制权。
更新时间：	20220705

事件名称：	TCP_可疑行为_JNDI远程加载恶意类
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在利用JNDI的lookup要领远程加载恶意类对目的主机进行攻击的行为。攻击者可以发送精心结构的Javapayload，远程加载恶意类执行任意代码或命令。远程执行任意代码，获取系统控制权。
更新时间：	20220705

事件名称：	TCP_可疑行为_Shiro_JNDI远程加载恶意类
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在利用ShiroJNDI的lookup要领远程加载恶意类对目的主机进行攻击的行为。攻击者可以发送精心结构的Javapayload，远程加载恶意类执行任意代码或命令。远程执行任意代码，获取系统控制权。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_万户OA_fileUpload.controller_任意文件上传漏洞
宁静类型：	宁静漏洞
事件描述:	万户OA存在一个任意文件上传漏洞，攻击者可以通过fileUpload.controller接口上传恶意文件。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_通达OA_update.php_文件包罗漏洞
宁静类型：	宁静漏洞
事件描述:	通达OAv11.8以下的版本存在一个文件包罗漏洞。攻击者可以通过利用PHP的.user.ini文件来包罗其他恶意文件绕过通达OA的文件上传限制。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_Jackson_反序列化_代码执行[CVE-2020-14060][CNNVD-202006-997]
宁静类型：	宁静漏洞
事件描述:	FasterXMLjackson-databind2.x,2.9.10.5版本之前的oadd.org.apache.xalan.lib.sql.JNDIConnectionPool错误地处置了与oadd相关的序列化gadgets和输入之间的交互
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_Jackson_反序列化_代码执行[CVE-2020-14062][CNNVD-202006-996]
宁静类型：	宁静漏洞
事件描述:	FasterXMLjackson-databind2.x,2.9.10.5版本之前的com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool错误地处置了与oadd相关的序列化gadgets和输入之间的交互
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_Jackson_反序列化_代码执行[CVE-2020-14195][CNNVD-202006-1070]
宁静类型：	宁静漏洞
事件描述:	FasterXMLjackson-databind2.x,2.9.10.5版本之前的org.jsecurity.realm.jndi.JndiRealmFactory错误地处置了与oadd相关的序列化gadgets和输入之间的交互
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_Jackson_反序列化_代码执行[CVE-2020-24750][CNNVD-202009-1066]
宁静类型：	宁静漏洞
事件描述:	FasterXMLjackson-databind2.x,2.9.10.5版本之前的com.pastdev.httpcomponents.configuration.JndiConfiguration错误地处置了与oadd相关的序列化gadgets和输入之间的交互
更新时间：	20220705

事件名称：	HTTP_宁静事件_GitLab_远程命令执行[CVE-2018-19571][CVE-2018-19585]
宁静类型：	宁静漏洞
事件描述:	GitLab是一个用于堆栈管理系统的开源项目，其使用Git作为代码管理工具，可通过Web界面访问果然或私人项目。在11.4.7版本之前，该项目存在远程代码执行漏洞，攻击者可结构恶意payload以获取服务器权限。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_Mitel_MiVoice_Connect_远程代码执行[CVE-2022-29499][CNNVD-202204-4387]
宁静类型：	宁静漏洞
事件描述:	检测到目的ip为攻击者ip，通过源ip存在数据验证不正确的漏洞，可以通过vtest.php的get_url参数进行当地文件利用，从而使得源ip向目的ip（攻击者）发送敏感信息，或反弹shell，导致进一步攻击。MitelMiVoiceConnect是加拿大MitelNetworks公司的一款用于集中管理MitelNetworks的呼叫处置和协作工具的软件。
更新时间：	20220705

事件名称：	HTTP_小鱼易连视频系统_LUA脚本配置错误_远程命令执行
宁静类型：	宁静漏洞
事件描述:	小鱼易连视频会议系统LUA脚本权限分配不妥,导致任意用户可利用root权限执行命令，攻击者利用此漏洞可完全获取系统权限。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_中远麒麟_iAudit碉堡机_get_luser_by_sshport.php_远程命令执行漏洞
宁静类型：	宁静漏洞
事件描述:	中远麒麟iAudit碉堡机get_luser_by_sshport.php文件存在命令拼接，攻击者通过漏洞可获取服务器权限。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_天融信_TopApp-LB_enable_tool_debug.php_远程命令执行漏洞
宁静类型：	宁静漏洞
事件描述:	天融信TopSec-LBenable_tool_debug.php文件存在远程命令执行漏洞，通过命令拼接攻击者可以执行任意命令。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_深信服应用交付管理系统_sys_user.conf_账号密码泄漏
宁静类型：	CGI攻击
事件描述:	深信服应用交付管理系统文件sys_user.conf可在未授权的情况下直接访问，导致账号密码泄漏。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_深信服应用交付报表系统_download.php_任意文件读取漏洞
宁静类型：	宁静漏洞
事件描述:	深信服应用交付报表系统download.php文件存在任意文件读取漏洞，攻击者通过漏洞可以下载服务器任意文件。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_深信服应用交付报表系统_login.php_命令注入漏洞
宁静类型：	宁静漏洞
事件描述:	深信服应用交付报表系统（4.5以下版本）存在一个命令注入漏洞，该漏洞源于对传入的userPsw和userID过滤不严谨导致，允许远程攻击者使用特制请求执行任意命令。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_绿盟UTS综合威胁探针_信息泄露
宁静类型：	CGI攻击
事件描述:	绿盟UTS综合威胁探针某个接口未做授权导致未授权访问，其中包罗部门账号密码信息，攻击者可利用来进行登录绕过。
更新时间：	20220705

事件名称：	DNS_可疑行为_GotoHTTP远程连接工具使用
宁静类型：	可疑行为
事件描述:	Gotohttp是一款远程桌面工具，可能为黑客正在使用。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_Microsoft_Exchange_Server_远程代码执行漏洞[CVE-2020-16875][CNNVD-202009-374]
宁静类型：	宁静漏洞
事件描述:	由于对cmdlet参数的验证不正确，MicrosoftExchange服务器中存在远程执行代码漏洞。乐成利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。利用此漏洞需要已通过身份验证的用户具有受到威胁的特定Exchange角色。此宁静更新通过更正MicrosoftExchange处置cmdlet参数的方式来修复此漏洞。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_CMS-Discuz:X_uc_center后台代码执行
宁静类型：	宁静漏洞
事件描述:	Discuz!ML系统中，通过后台修改Ucenter数据库连接信息，可将恶意代码写入config/config_ucenter.php文件中，导致代码执行。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_Jackson_反序列化_代码执行[CVE-2019-14540][CNNVD-201909-716]
宁静类型：	宁静漏洞
事件描述:	Jackson是当前用的比力广泛的，用来序列化和反序列化json的Java开源框架。在2.9.10之前的FasterXMLjackson-databind中由于com.zaxxer.hikari.HikariConfig处置数据问题，存在反序列化漏洞
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_CMS_Discuz!X3.4_任意文件删除配合install过程getshell
宁静类型：	宁静漏洞
事件描述:	Discuz!ML系统安装后未登陆后台时，可利用文件删除漏洞删掉install.lock文件，绕过对安装完成的判断能够再进行安装的过程，然后将恶意代码写入配置文件中从而执行任意代码。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_Eyoucms_1.4.3_任意文件写入
宁静类型：	宁静漏洞
事件描述:	EyouCms是基于TP5.0框架为核心开发的免费+开源的企业内容管理系统，专注企业建站用户需求提供海量各行业模板。在1.4.3版本以前，该系统中存在任意文件写入漏洞，攻击者可结构恶意payload进行文件写入操作。
更新时间：	20220705

事件名称：	HTTP_木马后门_Covenant_心跳包_连接C2服务器
宁静类型：	木马后门
事件描述:	Covenant是一个.NET开发的C2(commandandcontrol)框架，使用.NETCore的开发环境，不仅支持Linux，MacOS和Windows，还支持docker容器。Covenant支持动态编译，能够将输入的C#代码上传至C2Server，获得编译后的文件并使用Assembly.Load()从内存进行加载。该事件表明，Covenant的生成物Grunts正在利用心跳报文与C2服务器保持连接。
更新时间：	20220705

修改事件

事件名称：	HTTP_宁静漏洞_fastjson_1.2.47_反序列化远程代码执行漏洞
宁静类型：	宁静漏洞
事件描述:	Fastjson是一个Java库，可以将Java工具转换为JSON格式，fastjson在1.2.47以及之前版本存在远程代码执行高危宁静漏洞。攻击者通过发送一个精心结构的JSON序列化恶意代码，当法式执行JSON反序列化的过程中执行恶意代码，从而导致远程代码执行。
更新时间：	20220705

事件名称：	HTTP_可疑行为_fastjson_反序列化加载BCEL
宁静类型：	宁静漏洞
事件描述:	Fastjson是一个Java库，可以将Java工具转换为JSON格式，fastjson在1.2.24以及之前版本存在远程代码执行高危宁静漏洞。攻击者通过发送一个精心结构的JSON序列化恶意代码，当法式执行JSON反序列化的过程中执行恶意代码，从而导致远程代码执行。
更新时间：	20220705

事件名称：	TCP_后门_Linux.DDoS.Gafgyt_控制命令
宁静类型：	其他事件
事件描述:	检测到Gafgyt服务器试图发送命令给Gafgyt，目的IP主机被植入了Gafgyt。DDoS.Gafgyt是一个类Linux平台下的僵尸网络，主要功效是对指定目标机器提倡DDoS攻击。对指定目标主机提倡DDoS攻击。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_fastjson_1.2.45_反序列化远程代码执行漏洞[CVE-2017-18349]
宁静类型：	宁静漏洞
事件描述:	Fastjson是一个Java库，可以将Java工具转换为JSON格式，fastjson在1.2.24以及之前版本存在远程代码执行高危宁静漏洞。攻击者通过发送一个精心结构的JSON序列化恶意代码，当法式执行JSON反序列化的过程中执行恶意代码，从而导致远程代码执行。
更新时间：	20220705

事件名称：	HTTP_宁静漏洞_fastjson_1.2.62_反序列化远程代码执行漏洞
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在利用fastjsonJSON反序列化远程代码执行漏洞对目的IP主机进行攻击的行为，试图通过传入精心结构的恶意代码或命令来入侵目的IP主机。FastJson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，由于具有执行效率高的特点，应用范围很广。攻击乐成，可远程执行任意代码。
更新时间：	20220705

事件名称：	HTTP_通用_目录穿越漏洞[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]
宁静类型：	宁静漏洞
事件描述:	检测到源IP主机正在实验对目的IP主机进行目录穿越漏洞攻击实验的行为。目录穿越漏洞能使攻击者绕过Web服务器的访问限制，对web根目录以外的文件夹，任意地读取甚至写入文件数据。此规则是一条通用规则，其他漏洞（甚至一些0day漏洞）攻击的payload也有可能触发此事件报警。由于正常业务中一般不会发生此事件特征的流量，所以需要重点关注。允许远程攻击者访问敏感文件。
更新时间：	20220705

事件名称：	HTTP_通达OA_任意文件上传/文件包罗漏洞
宁静类型：	宁静漏洞
事件描述:	通达OA是一套办公系统。由于通达OA中存在的两枚漏洞(文件上传漏洞，文件包罗漏洞)，攻击者可通过这两枚漏洞实现远程命令执行。/ispirit/im/upload.php存在绕过登录(任意文件上传漏洞)，结合gateway.php处存在的文件包罗漏洞，最终导致getshell。
更新时间：	20220705

事件名称：	HTTP_可疑行为_Fastjson_dnslog探测
宁静类型：	宁静审计
事件描述:	检测到源ip正在利用dnslog探测主机后端是否是fastjson；
更新时间：	20220705

事件名称：	HTTP_可疑行为_Fastjson漏洞_编码利用
宁静类型：	可疑行为
事件描述:	FastJson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，由于具有执行效率高的特点，应用范围很广。攻击乐成，可远程执行任意代码。fastjson可接受并解析hex编码内容，因此攻击者可利用hex编码绕过检测设备。
更新时间：	20220705

事件名称：	TCP_僵尸网络_BlackMoon_连接
宁静类型：	其他事件
事件描述:	检测到BlackMoon远控试图连接远程服务器，源IP所在的主机可能被植入了僵尸网络BlackMoon。BlackMoon主要功效是对指定目标提倡DDoS攻击，通过关联分析发现，该BlackMoon僵尸网络流传方式之一是借助独狼（Rovnix）僵尸网络进行流传。独狼僵尸网络通过带毒激活工具（狂风激活、小马激活、KMS等）进行流传，常被用来推广病毒和流氓软件。
更新时间：	20220705

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号