每周升级通告-2021-12-28

宣布时间 2021-12-28

新增事务


事务名称:

TCP_NSA_EternalBlue_(永恒之蓝)_SMB误差最先使用[MS17-010][CNNVD-201703-726]

清静类型:

缓冲溢出

事务形貌:

检测到源IP对目的主机举行MS17-010误差使用的行为,该阶段为误差使用的初始阶段。MicrosoftWindows是微软宣布的很是盛行的操作系统。若是攻击者向Microsoft服务器发送经全心结构的畸形请求包,可以获取目的服务器的系统权限,并且完全控制目的系统。攻击者最先举行MS17-010误差使用,在本机保存误差的情形下,在使用完成后攻击者可能完全控制主机。

更新时间:

20211228


事务名称:

TCP_清静误差_Spring-Data-REST-PATCH请求_远程执行代码[CVE-2017-8046]

清静类型:

代码执行

事务形貌:

2017921日,盛行的Java框架spring被发明一个高危误差,误差CVE编号为CVE-2017-8046。黑客可以使用该误差远程执行下令,使用了spring框架的营业保存高清静危害。SpringDataRestSpringData框架的其中一个组件,SpringDataRest可构建RestWeb,SpringDataRestPATCH要领处置惩罚不当,导致攻击者能够使用JSON数据造成RCE。实质照旧由于SpringSPEL剖析导致的RCE。

更新时间:

20211228

 

事务名称:

HTTP_代码执行_Intellian_Satellian_Aptus_Web远程代码执行[CVE-2020-7980]

清静类型:

代码执行

事务形貌:

Intellian Satellian Aptus Web 是一个控制台系统。在Intellian Aptus Web 1.24 之前的版本中保存远程下令执行误差,允许远程攻击者通过 JSON 数据中的 Q 字段向/cgi-bin/libagent.cgi 执行恣意 OS 下令。

更新时间:

20211228

 

事务名称:

HTTP_下令执行_Alcatel-Lucent_OmniPCX_远程下令执行误差[CVE-2007-3010][CNNVD-200709-257]

清静类型:

下令执行

事务形貌:

检测到源ip主机正在使用AlcatelR7.1版本以前的误差举行下令执行 ;Alcatel_OmniPCXEnterprise是一种针对大中型企业、宾馆、呼叫中心的集成交互式通讯解决计划。该解决计划将古板的电话功效和对基于因特网的语音通讯及多媒体通讯的支持相团结。AlcatelOmniPCXEnterprise是基于业界标准的开放型、漫衍式通讯服务器,适用于大中型企业的通讯营业。

更新时间:

20211228


事务名称:

HTTP_清静误差_DedeCMS_信息泄露误差[CVE-2018-6910][CNNVD-201802-949]

清静类型:

敏感信息泄露

事务形貌:

DesdevDedeCMS(织梦内容治理系统)是中国卓卓网络(Desdev)科技有限公司的一套开源的集内容宣布、编辑、治理检索即是一体的PHP网站内容治理系统(CMS)。DesdevDedeCMS5.7版本中保存信息泄露误差。远程攻击者可通过对include/downmix.inc.phpinc/inc_archives_functions.php文件发送接请求使用该误差获取完整路径。

更新时间:

20211228


事务名称:

HTTP_清静误差_Apache_Druid_LoadData_恣意文件读取误差[CVE-2021-36749][CNNVD-202109-1676]

清静类型:

文件读取

事务形貌:

ApacheDruid是一个实时剖析型数据库,旨在对大型数据集举行快速的盘问剖析。在ApacheDruid系统中,InputSource用于从某个数据源读取数据。由于没有对用户可控的HTTPInputSource做限制,ApacheDruid允许经由身份验证的用户以Druid服务器历程的权限从指定命据源读取数据,包括外地文件系统。攻击者可通过将文件URL转达给HTTPInputSource来绕过应用程序级别的限制。由于ApacheDruid默认情形下缺乏授权认证,攻击者可结构恶意请求,在未授权情形下使用该误差读取恣意文件,最终导致服务器敏感信息泄露。

更新时间:

20211228

 

事务名称:

HTTP_清静误差_WordPress_未授权会见[CVE-2019-17671][CNNVD-201910-1180]

清静类型:

非授权会见/权限绕过

事务形貌:

检测到源ip正在使用WordPress5.2.3以前的误差,举行未授权的神秘文件会见

更新时间:

20211228


事务名称:

HTTP_清静误差_DedeCMS_前台恣意用户密码修改误差

清静类型:

逻辑/设计过失

事务形貌:

DedeCms是免费的PHP网站内容治理系统。DedeCMS在用户密码重置功效处,php保存弱类型较量,导致若是用户没有设置密保问题的情形下,攻击者可以绕过验证密保问题,直接修改密码(治理员账户默认不设置密保问题)。

更新时间:

20211228

 

事务名称:

HTTP_清静误差_DedeCMS_前台文件上传误差

清静类型:

文件上传

事务形貌:

DedeCms是免费的PHP网站内容治理系统。DedeCms在用户宣布文章上传图片处保存文件上传误差,该误差源于对上传文件后缀检测不严谨,可导致黑客上传恶意文件控制主机。

更新时间:

20211228


事务名称:

HTTP_清静误差_Phpcms_install.php_前台Getshell

清静类型:

设置不当/过失

事务形貌:

检测到源ip可能保存正在使用目的ipPhpcms上未删除的install.php举行恶意攻击的行为,现在规则无法准确判断是否为恶意攻击。PHPCMS是开源的整站系统。PHPCMS保存PHPCMS_v2008_preview.php注入误差,攻击者使用此误差窃取敏感信息,获取数据库和治理员权限。

更新时间:

20211228

 

事务名称:

HTTP_清静误差_ADSelfService-Plus未授权_恣意代码执行[CVE-2021-40539][CNNVD-202109-330]

清静类型:

代码执行

事务形貌:

ZOHOManageEngineADSelfServicePlus是美国卓豪(ZOHO)公司的针对ActiveDirectory和云应用程序的集成式自助密码治理和单点登录解决计划。ZohoManageEngineADSelfServicePlus6113版本及更早版本保存授权问题误差,该误差源于软件很容易绕过RESTAPI认证,从而导致远程代码执行。

更新时间:

20211228

 

事务名称:

HTTP_Spring-api-actuator相关文件_敏感文件会见

清静类型:

敏感信息泄露

事务形貌:

SpringBoot官方提供了spring-boot-starter-actuator场景启动器用于系统的监控治理,可以通过HTTP,JMX,SSH协议来举行操作,自动获得审计、康健及指标信息等。相关文件皆为敏感文件,未做会见权限控制将导致信息泄露。

更新时间:

20211228


事务名称:

HTTP_Swagger-api工具_敏感文件会见

清静类型:

敏感信息泄露

事务形貌:

Swagger是一款RESTFUL接口的、基于YAMLJSON语言的文档在线自动天生、代码自动天生的工具。spring框架中也会使用Swaggerspringfox-swagger22.4springfox-swagger-ui2.4),相关文件夹被会见有信息泄露危害。

更新时间:

20211228

 

事务名称:

HTTP_清静误差_Seowon-Intech-SWC-9100-Routers_下令执行[CVE-2013-7179][CNNVD-201402-022]

清静类型:

下令执行

事务形貌:

SeowonIntechSWC-9100Routers是韩国瑞元殷特(SeowonIntech)公司的一款无线路由器产品。SeowonIntechSWC-9100路由器中的cgi-bin/diagnostic.cgi文件中的ping功效中保存输入验证误差。远程攻击者可借助‘ping_ipaddr’参数中的shell元字符使用该误差执行恣意下令。

更新时间:

20211228

 

事务名称:

DNS_木马_可疑矿池主域名剖析请求7

清静类型:

挖矿软件

事务形貌:

检测到可疑挖矿木马试图毗连域名服务器剖析矿池地点。源IP所在的主机可能被植入了挖矿木马。挖矿木马实验毗连矿池,运行后使受害主机变慢,消耗CPU资源。若是为用户正常会见矿池主页,则忽略该事务。

更新时间:

20211228

 

事务名称:

HTTP_清静误差_MicrosoftOffice_远程代码执行误差[CVE-2021-40444][CVE-2021-40444][CNNVD-202109-350]

清静类型:

文件下载

事务形貌:

检测到源ip所在的主机正在使用CVE-2021-40444下载恶意程序,事务检测响应包特征。CVE-2021-40444是一个在20219月被爆出的在野使用的误差,用户只需要双击执行docx文件或使用ie会见恶意网站,即可执行恶意程序。该误差位于WindowsMSHML组件,MSHML组件是微软IE浏览器的排版引擎,也可以在office程序中泛起web页面。MSHTML提供了COM接口,任何支持COM的情形都可以通过该组件会见、编辑网页。

更新时间:

20211228


修改事务


事务名称:

HTTP_可疑行为_Apache_Log4j_嵌套使用内置lookup名堂字符串

清静类型:

下令执行

事务形貌:

ApacheLog4j是一个用于Java的日志纪录库,其支持启动远程日志服务器。此事务代表发明了源IP主机发送了知足内置lookup名堂的字符串,当目的IP主机后端吸收到此名堂的字符串时,会自动挪用lookup功效。此事务检测的是嵌套使用lookup记号的行为,此行为具有一定危害,可能会被攻击者滥用,如绕过WAF检测,并举行非预期的jndi挪用。

更新时间:

20211228

 

事务名称:

TCP_可疑行为_Apache_Log4j_嵌套使用内置lookup名堂字符串

清静类型:

下令执行

事务形貌:

ApacheLog4j是一个用于Java的日志纪录库,其支持启动远程日志服务器。此事务代表发明了源IP主机发送了知足内置lookup名堂的字符串,当目的IP主机后端吸收到此名堂的字符串时,会自动挪用lookup功效。此事务检测的是嵌套使用lookup记号的行为,此行为具有一定危害,可能会被攻击者滥用,如绕过WAF检测,并举行非预期的jndi挪用。

更新时间:

20211228