优发国际网站官网

首页 > 手艺支持 > 升级通告 > 每周升级通告

每周升级通告-2022-07-05

宣布时间 2022-07-05

新增事件

事务名称：	HTTP_清静误差_fastjson_1.2.60_反序列化远程代码执行误差
清静类型：	清静误差
事务形貌:	检测到源IP主机正在使用fastjsonJSON反序列化远程代码执行误差对目的主机举行攻击的行为，试图通过传入全心结构的恶意代码或下令来入侵目的IP主机。FastJson是阿里巴巴的开源JSON剖析库，它可以剖析JSON名堂的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，由于具有执行效率高的特点，应用规模很广。攻击乐成，可远程执行恣意代码。
更新时间：	20220705

事务名称：	HTTP_清静误差_fastjson_1.2.67_反序列化远程代码执行误差
清静类型：	清静误差
事务形貌:	Fastjson是一个Java库，可以将Java工具转换为JSON名堂，fastjson保存远程代码执行高危清静误差。攻击者通过发送一个全心结构的JSON序列化恶意代码，当程序执行JSON反序列化的历程中执行恶意代码，从而导致远程代码执行。
更新时间：	20220705

事务名称：	TCP_木马_BeamMiner_挖矿乐成(BEAM)
清静类型：	蠕虫病毒
事务形貌:	检测到矿机向矿池提交挖矿效果的行为。源IP所在的主机可能被植入了BeamMiner挖矿木马。BeamMiner是一款挖矿恶意程序，挖矿程序会占用CPU资源，可能导致受害主机变慢。Beam是基于MimbleWimble协议开发的加密钱币，具有强隐私性、替换性和扩展性。Beam所有生意都默认是私密的。新节点加入网络无需同步整个生意历史，可以请求同步只包括系统状态的压缩历史纪录和区块头，从而实现快速同步。
更新时间：	20220705

事务名称：	TCP_后门_Win32.WarZoneRat_毗连(扫描)
清静类型：	清静扫描
事务形貌:	检测到源IP主机在对目的IP主机举行扫描。WarZoneRat是一个功效强盛的远控，运行后可完全控制被植入机械。本事务报警不是真实攻击，仅仅意味着源IP主机在对目的IP主机举行扫描。源IP一样平常属于Shodan扫描主机，目的IP是客户主机。源IP主机模拟WarZoneRat样本向目的IP主机发送上线报文，若是收到期望的返回数据，即以为目的IP主机上运行着Gh0st控制端，是WarZoneRat的C&C服务。Shodan就是通过这种扫描来获取恶意软件的C&C服务器，除Shodan外，其它一些威胁情报公司的IP主机也在举行着这种扫描。
更新时间：	20220705

事务名称：	HTTP_清静误差_WordPress-3DPrint-Lite_恣意文件上传
清静类型：	清静误差
事务形貌:	WordPress3DPrintLiteVersion1.9.1.4版本中的3dprint-lite-functions.php文件保存文件上传误差，攻击者通过结构请求包可以上传恣意文件获取服务器权限。
更新时间：	20220705

事务名称：	HTTP_清静误差_Webmin_远程下令执行误差[CVE-2019-12840][CNNVD-201906-632]
清静类型：	清静误差
事务形貌:	检测到源IP主机正在使用Webmin1.910和更早版本中的update.cgi允许远程经由身份验证的用户执行恣意下令。Webmin是功效最强盛的基于Web的Unix系统治理工具。治理员通过浏览器会见Webmin的种种治理功效并完成响应的治理行动。
更新时间：	20220705

事务名称：	TCP_Java反序列化_CommonsCollections11_使用链攻击
清静类型：	清静误差
事务形貌:	检测到源IP主机正在使用CommonsCollections11的Java反序列化使用链对目的主机举行攻击的行为。若会见的应用保存误差JAVA反序列化误差且使用了CommonsCollections3.1-3.2.1，攻击者可以发送全心结构的Java序列化工具，远程执行恣意代码或下令。远程执行恣意代码，获取系统控制权。
更新时间：	20220705

事务名称：	TCP_可疑行为_URLClassLoader远程加载恶意类
清静类型：	清静误差
事务形貌:	检测到源IP主机正在使用URLClassLoader的Java远程加载恶意类对目的主机举行攻击的行为。攻击者可以发送全心结构的Javapayload，远程加载恶意类执行恣意代码或下令。远程执行恣意代码，获取系统控制权。
更新时间：	20220705

事务名称：	TCP_可疑行为_JNDI远程加载恶意类
清静类型：	清静误差
事务形貌:	检测到源IP主机正在使用JNDI的lookup要领远程加载恶意类对目的主机举行攻击的行为。攻击者可以发送全心结构的Javapayload，远程加载恶意类执行恣意代码或下令。远程执行恣意代码，获取系统控制权。
更新时间：	20220705

事务名称：	TCP_可疑行为_Shiro_JNDI远程加载恶意类
清静类型：	清静误差
事务形貌:	检测到源IP主机正在使用ShiroJNDI的lookup要领远程加载恶意类对目的主机举行攻击的行为。攻击者可以发送全心结构的Javapayload，远程加载恶意类执行恣意代码或下令。远程执行恣意代码，获取系统控制权。
更新时间：	20220705

事务名称：	HTTP_清静误差_万户OA_fileUpload.controller_恣意文件上传误差
清静类型：	清静误差
事务形貌:	万户OA保存一个恣意文件上传误差，攻击者可以通过fileUpload.controller接口上传恶意文件。
更新时间：	20220705

事务名称：	HTTP_清静误差_通达OA_update.php_文件包括误差
清静类型：	清静误差
事务形貌:	通达OAv11.8以下的版本保存一个文件包括误差。攻击者可以通过使用PHP的.user.ini文件来包括其他恶意文件绕过通达OA的文件上传限制。
更新时间：	20220705

事务名称：	HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2020-14060][CNNVD-202006-997]
清静类型：	清静误差
事务形貌:	FasterXMLjackson-databind2.x,2.9.10.5版本之前的oadd.org.apache.xalan.lib.sql.JNDIConnectionPool过失地处置惩罚了与oadd相关的序列化gadgets和输入之间的交互
更新时间：	20220705

事务名称：	HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2020-14062][CNNVD-202006-996]
清静类型：	清静误差
事务形貌:	FasterXMLjackson-databind2.x,2.9.10.5版本之前的com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool过失地处置惩罚了与oadd相关的序列化gadgets和输入之间的交互
更新时间：	20220705

事务名称：	HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2020-14195][CNNVD-202006-1070]
清静类型：	清静误差
事务形貌:	FasterXMLjackson-databind2.x,2.9.10.5版本之前的org.jsecurity.realm.jndi.JndiRealmFactory过失地处置惩罚了与oadd相关的序列化gadgets和输入之间的交互
更新时间：	20220705

事务名称：	HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2020-24750][CNNVD-202009-1066]
清静类型：	清静误差
事务形貌:	FasterXMLjackson-databind2.x,2.9.10.5版本之前的com.pastdev.httpcomponents.configuration.JndiConfiguration过失地处置惩罚了与oadd相关的序列化gadgets和输入之间的交互
更新时间：	20220705

事务名称：	HTTP_清静事务_GitLab_远程下令执行[CVE-2018-19571][CVE-2018-19585]
清静类型：	清静误差
事务形貌:	GitLab是一个用于客栈治理系统的开源项目，其使用Git作为代码治理工具，可通过Web界面会见果真或私人项目。在11.4.7版本之前，该项目保存远程代码执行误差，攻击者可结构恶意payload以获取服务器权限。
更新时间：	20220705

事务名称：	HTTP_清静误差_Mitel_MiVoice_Connect_远程代码执行[CVE-2022-29499][CNNVD-202204-4387]
清静类型：	清静误差
事务形貌:	检测到目的ip为攻击者ip，通过源ip保存数据验证不准确的误差，可以通过vtest.php的get_url参数举行外地文件使用，从而使得源ip向目的ip（攻击者）发送敏感信息，或反弹shell，导致进一步攻击。MitelMiVoiceConnect是加拿大MitelNetworks公司的一款用于集中治理MitelNetworks的呼叫处置惩罚和协作工具的软件。
更新时间：	20220705

事务名称：	HTTP_小鱼易连视频系统_LUA剧本设置过失_远程下令执行
清静类型：	清静误差
事务形貌:	小鱼易连视频聚会系统LUA剧本权限分派不当,导致恣意用户可使用root权限执行下令，攻击者使用此误差可完全获取系统权限。
更新时间：	20220705

事务名称：	HTTP_清静误差_中远麒麟_iAudit堡垒机_get_luser_by_sshport.php_远程下令执行误差
清静类型：	清静误差
事务形貌:	中远麒麟iAudit堡垒机get_luser_by_sshport.php文件保存下令拼接，攻击者通过误差可获取服务器权限。
更新时间：	20220705

事务名称：	HTTP_清静误差_天融信_TopApp-LB_enable_tool_debug.php_远程下令执行误差
清静类型：	清静误差
事务形貌:	天融信TopSec-LBenable_tool_debug.php文件保存远程下令执行误差，通过下令拼接攻击者可以执行恣意下令。
更新时间：	20220705

事务名称：	HTTP_清静误差_深信服应用交付治理系统_sys_user.conf_账号密码走漏
清静类型：	CGI攻击
事务形貌:	深信服应用交付治理系统文件sys_user.conf可在未授权的情形下直接会见，导致账号密码走漏。
更新时间：	20220705

事务名称：	HTTP_清静误差_深信服应用交付报表系统_download.php_恣意文件读取误差
清静类型：	清静误差
事务形貌:	深信服应用交付报表系统download.php文件保存恣意文件读取误差，攻击者通过误差可以下载服务器恣意文件。
更新时间：	20220705

事务名称：	HTTP_清静误差_深信服应用交付报表系统_login.php_下令注入误差
清静类型：	清静误差
事务形貌:	深信服应用交付报表系统（4.5以下版本）保存一个下令注入误差，该误差源于对传入的userPsw和userID过滤不严谨导致，允许远程攻击者使用特制请求执行恣意下令。
更新时间：	20220705

事务名称：	HTTP_清静误差_绿盟UTS综合威胁探针_信息泄露
清静类型：	CGI攻击
事务形貌:	绿盟UTS综合威胁探针某个接口未做授权导致未授权会见，其中包括部分账号密码信息，攻击者可使用来举行登录绕过。
更新时间：	20220705

事务名称：	DNS_可疑行为_GotoHTTP远程毗连工具使用
清静类型：	可疑行为
事务形貌:	Gotohttp是一款远程桌面工具，可能为黑客正在使用。
更新时间：	20220705

事务名称：	HTTP_清静误差_Microsoft_Exchange_Server_远程代码执行误差[CVE-2020-16875][CNNVD-202009-374]
清静类型：	清静误差
事务形貌:	由于对cmdlet参数的验证不准确，MicrosoftExchange服务器中保存远程执行代码误差。乐成使用此误差的攻击者可以在系统用户的上下文中运行恣意代码。使用此误差需要已通过身份验证的用户具有受到威胁的特定Exchange角色。此清静更新通过更正MicrosoftExchange处置惩罚cmdlet参数的方法来修复此误差。
更新时间：	20220705

事务名称：	HTTP_清静误差_CMS-Discuz:X_uc_center后台代码执行
清静类型：	清静误差
事务形貌:	Discuz!ML系统中，通事后台修改Ucenter数据库毗连信息，可将恶意代码写入config/config_ucenter.php文件中，导致代码执行。
更新时间：	20220705

事务名称：	HTTP_清静误差_Jackson_反序列化_代码执行[CVE-2019-14540][CNNVD-201909-716]
清静类型：	清静误差
事务形貌:	Jackson是目今用的较量普遍的，用来序列化和反序列化json的Java开源框架。在2.9.10之前的FasterXMLjackson-databind中由于com.zaxxer.hikari.HikariConfig处置惩罚数据问题，保存反序列化误差
更新时间：	20220705

事务名称：	HTTP_清静误差_CMS_Discuz!X3.4_恣意文件删除配合install历程getshell
清静类型：	清静误差
事务形貌:	Discuz!ML系统装置后未上岸后台时，可使用文件删除误差删掉install.lock文件，绕过对装置完成的判断能够再举行装置的历程，然后将恶意代码写入设置文件中从而执行恣意代码。
更新时间：	20220705

事务名称：	HTTP_清静误差_Eyoucms_1.4.3_恣意文件写入
清静类型：	清静误差
事务形貌:	EyouCms是基于TP5.0框架为焦点开发的免费+开源的企业内容治理系统，专注企业建站用户需求提供海量各行业模板。在1.4.3版本以前，该系统中保存恣意文件写入误差，攻击者可结构恶意payload举行文件写入操作。
更新时间：	20220705

事务名称：	HTTP_木马后门_Covenant_心跳包_毗连C2服务器
清静类型：	木马后门
事务形貌:	Covenant是一个.NET开发的C2(commandandcontrol)框架，使用.NETCore的开发情形，不但支持Linux，MacOS和Windows，还支持docker容器。Covenant支持动态编译，能够将输入的C#代码上传至C2Server，获得编译后的文件并使用Assembly.Load()从内存举行加载。该事务批注，Covenant的天生物Grunts正在使专心跳报文与C2服务器坚持毗连。
更新时间：	20220705

修改事务

事务名称：	HTTP_清静误差_fastjson_1.2.47_反序列化远程代码执行误差
清静类型：	清静误差
事务形貌:	Fastjson是一个Java库，可以将Java工具转换为JSON名堂，fastjson在1.2.47以及之前版本保存远程代码执行高危清静误差。攻击者通过发送一个全心结构的JSON序列化恶意代码，当程序执行JSON反序列化的历程中执行恶意代码，从而导致远程代码执行。
更新时间：	20220705

事务名称：	HTTP_可疑行为_fastjson_反序列化加载BCEL
清静类型：	清静误差
事务形貌:	Fastjson是一个Java库，可以将Java工具转换为JSON名堂，fastjson在1.2.24以及之前版本保存远程代码执行高危清静误差。攻击者通过发送一个全心结构的JSON序列化恶意代码，当程序执行JSON反序列化的历程中执行恶意代码，从而导致远程代码执行。
更新时间：	20220705

事务名称：	TCP_后门_Linux.DDoS.Gafgyt_控制下令
清静类型：	其他事务
事务形貌:	检测到Gafgyt服务器试图发送下令给Gafgyt，目的IP主机被植入了Gafgyt。DDoS.Gafgyt是一个类Linux平台下的僵尸网络，主要功效是对指定目的机械提倡DDoS攻击。对指定目的主机提倡DDoS攻击。
更新时间：	20220705

事务名称：	HTTP_清静误差_fastjson_1.2.45_反序列化远程代码执行误差[CVE-2017-18349]
清静类型：	清静误差
事务形貌:	Fastjson是一个Java库，可以将Java工具转换为JSON名堂，fastjson在1.2.24以及之前版本保存远程代码执行高危清静误差。攻击者通过发送一个全心结构的JSON序列化恶意代码，当程序执行JSON反序列化的历程中执行恶意代码，从而导致远程代码执行。
更新时间：	20220705

事务名称：	HTTP_清静误差_fastjson_1.2.62_反序列化远程代码执行误差
清静类型：	清静误差
事务形貌:	检测到源IP主机正在使用fastjsonJSON反序列化远程代码执行误差对目的IP主机举行攻击的行为，试图通过传入全心结构的恶意代码或下令来入侵目的IP主机。FastJson是阿里巴巴的开源JSON剖析库，它可以剖析JSON名堂的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，由于具有执行效率高的特点，应用规模很广。攻击乐成，可远程执行恣意代码。
更新时间：	20220705

事务名称：	HTTP_通用_目录穿越误差[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]
清静类型：	清静误差
事务形貌:	检测到源IP主机正在实验对目的IP主机举行目录穿越误差攻击实验的行为。目录穿越误差能使攻击者绕过Web服务器的会见限制，对web根目录以外的文件夹，恣意地读取甚至写入文件数据。此规则是一条通用规则，其他误差（甚至一些0day误差）攻击的payload也有可能触发此事务报警。由于正常营业中一样平常不会爆发此事务特征的流量，以是需要重点关注。允许远程攻击者会见敏感文件。
更新时间：	20220705

事务名称：	HTTP_通达OA_恣意文件上传/文件包括误差
清静类型：	清静误差
事务形貌:	通达OA是一套办公系统。由于通达OA中保存的两枚误差(文件上传误差，文件包括误差)，攻击者可通过这两枚误差实现远程下令执行。/ispirit/im/upload.php保存绕过登录(恣意文件上传误差)，团结gateway.php处保存的文件包括误差，最终导致getshell。
更新时间：	20220705

事务名称：	HTTP_可疑行为_Fastjson_dnslog探测
清静类型：	清静审计
事务形貌:	检测到源ip正在使用dnslog探测主机后端是否是fastjson；
更新时间：	20220705

事务名称：	HTTP_可疑行为_Fastjson误差_编码使用
清静类型：	可疑行为
事务形貌:	FastJson是阿里巴巴的开源JSON剖析库，它可以剖析JSON名堂的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，由于具有执行效率高的特点，应用规模很广。攻击乐成，可远程执行恣意代码。fastjson可接受并剖析hex编码内容，因此攻击者可使用hex编码绕过检测装备。
更新时间：	20220705

事务名称：	TCP_僵尸网络_BlackMoon_毗连
清静类型：	其他事务
事务形貌:	检测到BlackMoon远控试图毗连远程服务器，源IP所在的主机可能被植入了僵尸网络BlackMoon。BlackMoon主要功效是对指定目的提倡DDoS攻击，通过关联剖析发明，该BlackMoon僵尸网络撒播方法之一是借助独狼（Rovnix）僵尸网络举行撒播。独狼僵尸网络通过带毒激活工具（狂风激活、小马激活、KMS等）举行撒播，常被用来推广病毒和流氓软件。
更新时间：	20220705

上一篇下一篇

服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 优发国际网站官网版权所有京ICP备05032414号京公网安备11010802024551号