东森平台

首页 > 技术支持 > 升级通告 > 每周升级通告

每周升级通告-2022-09-06

宣布时间 2022-09-06

新增事件

事件名称：	HTTP_文件操作攻击_VMware_vCenter_Server_文件上传[CVE-2021-22005]
宁静类型：	宁静漏洞
事件描述：	VMware是一家云基础架构和移动商务解决方案厂商，提供基于VMware的虚拟化解决方案。2021年9月22日，VMware官方宣布宁静通告，披露了包罗CVE-2021-22005VMwarevCenterServer任意文件上传漏洞在内的多其中高危严重漏洞。受该漏洞的影响版本为VMwarevCenterServer7.0系列<7.0U2c,VMwarevCenterServer6.7系列<6.7U3o,在CVE-2021-22005中，攻击者可结构恶意请求，通过vCenter中的Analytics服务，可上传恶意文件，从而造成远程代码执行漏洞。
更新时间：	20220906

事件名称：	HTTP_提权攻击_Zabbix_小于4.4_未授权访问
宁静类型：	宁静漏洞
事件描述：	Zabbix是拉脱维亚ZabbixSIA公司的一套开源的监控系统。该系统可监视种种网络参数，并提供通知机制让系统管理员快速定位、解决存在的种种问题。Zabbix存在一个未授权访问漏洞，通过该漏洞，攻击者可以在未经授权的情况下访问Zabbix服务器上的数据，导致敏感信息泄露。
更新时间：	20220906

事件名称：	TCP_木马后门_wmRat(蔓灵花)_连接
宁静类型：	木马后门
事件描述：	检测到wmRat试图连接远程服务器。源IP所在的主机可能被植入了wmRat。wmRat是蔓灵花组织所使用了一个轻量化后门，基于CSharp语言，运行后，可以完全控制被植入机器。
更新时间：	20220906

事件名称：	TCP_僵尸网络_Orchard_连接
宁静类型：	木马后门
事件描述：	检测到僵尸网络Orchard试图连接远程服务器，源IP所在的主机可能被植入了僵尸网络Orchard。Orchard是2021年2月泛起的一个僵尸网络，使用DGA技术反抗检测。核心功效在受害者机器上安装种种恶意软件，目前为止，主要下载门罗币挖矿软件进行挖矿。
更新时间：	20220906

事件名称：	DNS_可疑行为_oast_带外查询
宁静类型：	CGI攻击
事件描述：	oast是一个免费的、无需注册就可以快速使用的DNSLog平台，能够对发送过去的DNS请求进行记录。经常被攻击者用于传输执行命令结果的回显。
更新时间：	20220906

事件名称：	DNS_可疑行为_interact_带外查询
宁静类型：	CGI攻击
事件描述：	interact.sh是interact.sh工具配套的DNSLog平台，能够对发送过去的DNS请求进行记录。经常被攻击者用于传输执行命令结果的回显。
更新时间：	20220906

事件名称：	TCP_提权攻击_Struts2_S2-045_代码执行[CVE-2017-5638]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正试图通过ApacheStruts2框架命令执行漏洞攻击目的IP主机。在使用Jakarta插件处置文件上传操作时可能导致远程代码执行漏洞，攻击者可以在文件上传时通过结构HTTP请求头中的Content-Type值可能造成远程代码执行漏洞。漏洞存在的版本：Struts2.3.5-Struts2.3.31，Struts2.5-Struts2.5.10实验测试验证ApacheStruts2S2-045远程代码执行漏洞，测试不具有攻击性，但可能袒露系统脆弱性特征。
更新时间：	20220906

事件名称：	TCP_提权攻击_Struts2_S2-046_代码执行[CVE-2017-5638]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正试图通过ApacheStruts2框架命令执行漏洞攻击目的IP主机。攻击者在使用Jakarta插件处置文件上传操作时可能导致远程代码执行漏洞，结构恶意OGNL使得上传文件的大�。ㄓ蒀ontent-Length头指定）大于Struts2允许的最大巨细2GB。漏洞存在的版本：Struts2.3.5-Struts2.3.31，Struts2.5-Struts2.5.10攻击乐成，可远程执行任意代码。
更新时间：	20220906

修改事件

事件名称：	HTTP_信息泄露_目录遍历[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在实验对目的IP主机进行目录穿越漏洞攻击实验的行为。目录穿越漏洞能使攻击者绕过Web服务器的访问限制，对web根目录以外的文件夹，任意地读取甚至写入文件数据。此规则是一条通用规则，其他漏洞（甚至一些0day漏洞）攻击的payload也有可能触发此事件报警。由于正常业务中一般不会发生此事件特征的流量，所以需要重点关注。允许远程攻击者访问敏感文件。
更新时间：	20220906

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号