每周升级通告-2023-05-23

宣布时间 2023-05-23

新增事件

 

事件名称:

HTTP_注入攻击_Sinapsi_eSolar_Light_Photovoltaic_System_Monitor_SQL注入[CVE-2012-5861][CNNVD-201211-425]

宁静类型:

注入攻击

事件描述:

检测到源IP主机正试图通过SinapsieSolarLightPhotovoltaicSystemMonitorSQL注入漏洞攻击目的IP主机。SinapsieSolarLight是太阳能应用内使用的监控系统。SinapsieSolar,SinapsieSolarDUO固件2.0.2870_2.2.12之前版本中存在多个SQL注入漏洞。远程攻击者利用该漏洞通过(1)primo操作中的‘inverterselect’参数传送到dettagliinverter.php脚本或(2)‘lingua’参数传送到changelanguagesession.php脚本,执行任意SQL命令。攻击者可获得敏感信息或操作数据库。

更新时间:

20230523


事件名称:

HTTP_漏洞利用_文件上传_EOFFICEV9.5_uploadify

宁静类型:

宁静漏洞

事件描述:

泛微 eofficev9.5存在文件上传漏洞

更新时间:

20230523

 

事件名称:

HTTP_可疑行为_反序列化_YONYOUNC65_NCMessageServlet

宁静类型:

宁静漏洞

事件描述:

用友NC6.5 NCMessageServlet 存在反序列化漏洞

更新时间:

20230523

 

事件名称:

HTTP_宁静漏洞_Drupal-8.x_RCE[CVE-2018-7600][CNNVD-201803-1136]

宁静类型:

宁静漏洞

事件描述:

Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)配合组成。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用法式。Drupalv8.x中<v8.3.9/v8.4.x<v8.4.6/v8.5.x<v8.5.1版本存在漏洞CVE-2018-7600,该漏洞会导致攻击者在主机上进行任意命令执行。

更新时间:

20230523

 

事件名称:

DNS_命令控制_远控后门_Floxif_域名解析请求

宁静类型:

木马后门

事件描述:

Floxif是一种由来已久的熏染型病毒,该病毒会暴力熏染受害者机器上的exe以及dll文件来流传自身。

更新时间:

20230523

 

事件名称:

DNS_命令控制_远控后门_MalSpam_域名解析请求

宁静类型:

木马后门

事件描述:

检测到MalSpam木马域名解析请求。

更新时间:

20230523

 

事件名称:

DNS_命令控制_木马后门_Tofsee_域名解析请求

宁静类型:

木马后门

事件描述:

Tofsee(也称为Gheg)是一种恶意软件家族,属于僵尸网络(botnet)和垃圾邮件(spam)流传工具。它通常通过垃圾邮件附件、恶意下载或者漏洞利用等方式流传,并将受熏染的计算机加入一个控制节点网络,用于执行种种恶意活动,如发送垃圾邮件、流传其他恶意软件、进行网络钓鱼等.

更新时间:

20230523

 

事件名称:

HTTP_命令控制_木马后门_Fareit_上传主机敏感信息

宁静类型:

木马后门

事件描述:

Fareit(也称为Pony)是一种恶意软件家族,属于信息窃取木马(Trojan)类别。它通常通过恶意下载、漏洞利用、垃圾邮件等方式流传,并在受熏染的计算机上执行恶意活动,包罗窃取敏感信息、登录凭据、银行账户信息等。

更新时间:

20230523

 

事件名称:

HTTP_漏洞利用_权限绕过_Dahua_摄像头[CVE-2021-33044][CNNVD-202109-1080]

宁静类型:

宁静漏洞

事件描述:

大华部门产物在登陆过程中存在身份验证绕过漏洞,攻击者在不需要权限的情况下,通过结构恶意报文即可绕过设备身份验证,获取管理员权限。

更新时间:

20230523

 

事件名称:

HTTP_漏洞利用_命令执行_Smartbi_远程命令执行

宁静类型:

宁静漏洞

事件描述:

检测到主机正在遭受Smartbi远程命令执行攻击。Smartbi中未经身份认证的远程攻击者可利用stub接口结构请求绕过补丁限制,进而控制JDBCURL,造成远程代码执行或信息泄露。

更新时间:

20230523

 

事件名称:

HTTP_漏洞利用_命令执行_D-Link_apply_sec.cgi[CVE-2019-16920][CNNVD-201909-1326]

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正在利用目的主机D-Link产物(如DIR-655C、DIR-866L、DIR-652和DHP-1565)中apply_sec.cgi处命令注入漏洞,攻击者可以利用该漏洞将任意字符串发送到“PingTest”网关接口来实现命令注入。

更新时间:

20230523

 

事件名称:

HTTP_漏洞利用_文件上传_UEDITOR组件利用

宁静类型:

宁静漏洞

事件描述:

UEDITOR 抓取远程数据源的时候未对文件后缀名进行验证,导致了任意文件的写入漏洞。ueditor版本<1.4.3漏洞利用

更新时间:

20230523

 

事件名称:

HTTP_漏洞利用_反序列化_GoAnywhereMFT反序列化漏洞[CVE-2023-0669][CVE-2023-0669][CNNVD-202302-398]

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正试图通过GoAnywhereMFT反序列化漏洞攻击目的IP主机。GoAnywhereMFT管理端存在反序列化漏洞,攻击者利用该漏洞无需登录便可以远程执行任意命令。

更新时间:

20230523

 

事件名称:

HTTP_漏洞利用_权限绕过_Dahua_摄像头[CVE-2021-33044][CNNVD-202109-1080]

宁静类型:

宁静漏洞

事件描述:

大华部门产物在登陆过程中存在身份验证绕过漏洞,攻击者在不需要权限的情况下,通过结构恶意报文即可绕过设备身份验证,获取管理员权限。

更新时间:

20230523

 

事件名称:

HTTP_漏洞利用_信息泄露_nginx监控页面

宁静类型:

CGI攻击

事件描述:

检测到源IP主机正在探测目的ip主机中的nginx监控页面,可以通过访问该页面来检察服务器运行状态。

更新时间:

20230523

 

修改事件

 

事件名称:

HTTP_僵尸网络_Andromeda_连接

宁静类型:

木马后门

事件描述:

检测到僵尸网络Andromeda试图连接远程服务器,源IP所在的主机可能被植入了Andromeda。Andromeda是一个� ?榛慕┦�,最原始的文件仅包罗一个加载器。运行期间,会从C&C服务器下载种种� ?�,同时也具有反虚拟机和反调试的功效。

更新时间:

20230523

 

事件名称:

FTP_木马_AgentTesla_Keylogger_连接

宁静类型:

木马后门

事件描述:

检测到木马试图连接远程服务器。源IP所在的主机可能被植入了AgentTesla Keylogger。

AgentTesla Keylogger是一个功效强大的窃密木马,可窃取包罗浏览器、邮件、FTP、剪贴板等客户端生存的账号密码�;箍梢越厝∑聊徊⑸洗�。

窃取敏感数据。

更新时间:

20230523