每周升级通告-2022-11-22

宣布时间 2022-11-22

新增事件

事件名称：   TCP_后门_Beacon.Payload_连接
宁静类型：   木马后门
事件描述：   检测到目的IP主机试图向源IP主机传输后门。常见的Beacon包罗CobaltStrike的Beacon，以及Metasploit的Meterpreter等。
更新时间：   20221122

事件名称：   HTTP_文件操作攻击_Apache_Flink_小于1.11.2_任意文件读取[CVE-2020-17519][CNNVD-202101-271]
宁静类型：   宁静漏洞
事件描述：   ApacheFlink1.11.0,1.11.1,1.11.2版本允许攻击者通过JobManager进程的RESTAPI读取JobManager当地文件系统上的任何文件（JobManager进程能访问到的）。
更新时间：   20221122

事件名称：   HTTP_信息泄露_SQLiteManager_1.2.0_目录穿越[CVE-2007-1232]
宁静类型：   CGI攻击
事件描述：   检测到源IP主机正在利用SQLiteManager的目录穿越漏洞访问敏感文件。SQLiteManager1.2.0版本中的目录遍历漏洞允许远程攻击者通过SQLiteManager_currentTheme中的..读取任意文件。
更新时间：   20221122

事件名称：   HTTP_提权攻击_Apache_CouchDB_JSON_命令执行[CVE-2017-12636][CNNVD-201711-486]
宁静类型：   宁静漏洞
事件描述：   检测到源ip主机正在利用目的主机上ApacheCouchDB的Restful的API接口存在的漏洞，结构恶意Json格式的数据，从而使非管理员用户以数据库系统用户的身份访问服务器上的任意shell命令。CouchDB是一个使用JSON作为存储格式，JavaScript作为查询语言，MapReduce和HTTP作为API的NoSQL数据库。CouchDB接纳基于Erlang的JSON解析器，与基于JavaScript的JSON解析器差异，CouchDB可以在数据库中提交带有角色重复键的_users文档用于实现访问控制，甚至包罗体现管理用户的_admin角色。
更新时间：   20221122

事件名称：   HTTP_提权攻击_致远OA_ajax.do_未授权访问
宁静类型：   宁静漏洞
事件描述：   检测到源IP正在利用致远OAV8.0以下版本的未授权漏洞获取权限来进行进一步文件上传的攻击；致远OA办公自动化软件，用于OA办公自动化软件的开发销售。
更新时间：   20221122

事件名称：   HTTP_文件操作攻击_若依CMS_小于4.5.1_文件读取[CNVD-2021-01931]
宁静类型：   宁静漏洞
事件描述：   检测到源ip主机正在利用若依CMS<4.5.1版本中的任意文件读取漏洞，登录后台后，可以读取服务器上的任意文件。若依管理系统是基于SpringBoot的权限管理系统。
更新时间：   20221122

事件名称：   HTTP_提权攻击_Microsoft_Exchange_Servers_命令执行[CVE-2022-40140][CVE-2022-41082]
宁静类型：   宁静漏洞
事件描述：   ExchangeServer是微软公司的一套电子邮件服务组件,是个消息与协作系统。该系统存在漏洞，可在经过ExchangeServer身份验证而且具有PowerShell操作权限的情况下利用这些漏洞（组合利用）远程执行恶意代码：CVE-2022-41040：MicrosoftExchangeServer服务器端请求伪造(SSRF)漏洞，CVE-2022-41082：MicrosoftExchangeServer远程代码执行（RCE）漏洞。
更新时间：   20221122

事件名称：   HTTP_提权攻击_Oracle_WebLogic_反序列化绕过[CVE-2019-2725][CNNVD-201904-1251]
宁静类型：   宁静漏洞
事件描述：   OracleWebLogicServer是OracleCorporation当前开发的JavaEE应用服务器。OracleWebLogicServer10.3.6.0.0、OracleWebLogicServer12.1.3.0.0版本存在反序列化漏洞，该漏洞绕过CVE-2019-2725补丁，漏洞存在wls-wsat和bea_wls9_async_response组件，未经授权的攻击者可以发送精心结构的恶意HTTP请求，获取服务器权限，实现远程代码执行。
更新时间：   20221122

事件名称：   SMTP_窃密木马_Snake_Keylogger_上传窃密信息
宁静类型：   木马后门
事件描述：   检测到SnakeKeylogger窃密木马正在向远程服务器上传窃密的种种信息。Snake恶意软件是一种以.NET编程语言实现的信息窃取恶意软件。通过网络钓鱼邮件分发。Snake是一种功效富厚的恶意软件，对用户的隐私和宁静组成重大威胁。Snake具有记录击键以及剪贴板数据、屏幕截图和凭据偷窃功效。Snake可以从50多个应用法式中窃取凭据，其中包罗FTP客户端、邮件客户端、通信平台和Web浏览器等应用法式。Snake支持通过多种协议进行上传数据，例如FTP、SMTP和Telegram三种方式上传窃取的信息。
更新时间：   20221122

事件名称：   HTTP_文件操作攻击_泛微OA_fileDownload.jsp_文件下载
宁静类型：   宁静漏洞
事件描述：   检测到源ip正在利用目的主机上的泛微OAfileDownload.jsp存在的任意文件下载漏洞。攻击者可以通过..\/来绕过泛微对../的限制，从而实现任意文件下载。泛微OA是国内公司宣布的一款移动办公正台。
更新时间：   20221122

事件名称：   HTTP_文件操作攻击_泛微OA_Ecology_weaver.eui.EuiServlet_文件上传
宁静类型：   宁静漏洞
事件描述：   检测到源ip正在利用目的主机上的泛微OA_Ecology上后台存在的文件上传漏洞上传任意文件，从而获取权限。泛微OA是国内公司宣布的一款移动办公正台。
更新时间：   20221122

事件名称：   HTTP_提权攻击_Apache_Spark_代码执行[CVE-2020-9480]
宁静类型：   宁静漏洞
事件描述：   ApacheSpark是一个开源集群运算框架。在ApacheSpark2.4.5以及更早版本中Spark的认证机制存在缺陷，导致共享密钥认证失效。攻击者利用该漏洞，可在未授权的情况下，在主机上执行命令，造成远程代码执行。
更新时间：   20221122

修改事件

事件名称：   TCP_后门_Yakes.qwq连接
宁静类型：   其他事件
事件描述：   该事件表明，木马试图连接远程服务器。该事件源IP主机可能被植入了后门Yakes.qwq。Yakes.qwq是基于IRC协议的后门，运行后，把自身代码插入到系统正常进程。连接远程IRC命令和控制服务器，接收其指令，并执行。如下载恶意软件，提倡DDOS攻击。本后门运行后，首先创建假回收站文件夹，并拷贝自身到该文件夹下，到达隐藏的目的。设置注册表，实现开机启动隐藏在假回收站里的后门法式。接收并执行IRC服务器的指令。
更新时间：   20221122

事件名称：   HTTP_木马后门_webshell_Altman_PHP连接
宁静类型：   木马后门
事件描述：   检测到源IP主机正在通过Webshell管理工具Altman访问目的主机上的一句话Webshell，从而得到执行代码、上传下载文件等权限。Altman基于.Net4.0开发，整个法式接纳mef插件架构。目前完成的功效有：Shell管理、命令执行、文件管理、数据库管理、编码器等，脚本类型支持asp、aspx、php、jsp、python。
更新时间：   20221122

事件名称：   HTTP_文件操作攻击_Snews_CMS_文件上传攻击
宁静类型：   宁静漏洞
事件描述：   检测到源IP主机正在利用SnewsCMS中的文件上传漏洞，上传恶意文件，从而获得目的IP主机的执行代码、文件上传、数据库操作等权限。sNews是一完全地自由的、切合尺度的、使用PHP和MySQL驱动的内容管理系统(CMS)。
更新时间：   20221122

事件名称：   HTTP_文件操作攻击_PHP_chr函数_webshell文件上传
宁静类型：   宁静漏洞
事件描述：   检测到源IP主机正在利用chr函数结构恶意文件绕过要害词检测，上传PHP恶意文件，从而获得目的IP主机的执行代码、文件上传、数据库操作等权限。
更新时间：   20221122

事件名称：   TCP_提权攻击_Zabbix_Server_trapper_命令执行
宁静类型：   宁静漏洞
事件描述：   检测到源ip正在利用Zabbix的漏洞进行恶意命令执行。Zabbix是由AlexeiVladishev开发的一种网络监视、管理系统，基于Server-Client架构。在CVE-2017-2824中，其Server端trappercommand功效存在一处代码执行漏洞，而修复补丁并不完善，导致可以利用IPv6进行绕过，注入任意命令。
更新时间：   20221122

事件名称：   HTTP_信息泄露_Alibaba_Canal-config_云密钥_信息泄露
宁静类型：   CGI攻击
事件描述：   canal是阿里巴巴旗下的一款开源项目,因权限问题，攻击者可通过特定的地址访问获取一些较为敏感的数据。
更新时间：   20221122

事件名称：   TCP_提权攻击_可疑反弹shell命令注入_攻击失败
宁静类型：   宁静漏洞
事件描述：   检测到源IP主机正在向目的主机进行BASH_反弹shell命令注入攻击。反弹连接，是指攻击者指定服务端，受害者主机主动连接攻击者的服务端法式。反弹shell通常用于被控端因防火墙受限、权限不足、端口被占用等情形。攻击者攻击乐成后可以远程执行系统命令。当执行bash反弹shell命令有误时，会返回bash:nojobcontrolinthisshell
更新时间：   20221122

事件名称：   TCP_提权攻击_ASP.NET_ObjectDataProvider-YamlDotNet利用链_ysoserial工具利用_命令执行
宁静类型：   宁静漏洞
事件描述：   ysoserial.net是在常见.NET库中发现的实用法式和面向属性的编程“小工具链”的集合，可以在适当的条件下利用.NET应用法式执行不宁静的工具反序列化。主驱动法式接受用户指定的命令并将其包装在用户指定的小工具链中，然后将这些工具序列化到尺度输出。当类路径上具有所需小工具的应用法式不宁静地反序列化此数据时，将自动调用链并导致命令在应用法式主机上执行。
更新时间：   20221122

事件名称：   HTTP_提权攻击_yii反序列化_代码执行[CVE-2020-15148][CNNVD-202009-926]
宁静类型：   宁静漏洞
事件描述：   检测到源IP利用目的ip上yii的反序列化漏洞结构序列化文本从而执行远程命令执行的行为。Yii是一个高性能的PHP5的web应用法式开发框架。通过一个简单的命令行工具yiic可以快速创建一个web应用法式的代码框架，开发者可以在生成的代码框架基础上添加业务逻辑，以快速完成应用法式的开发。
更新时间：   20221122

事件名称：   HTTP_提权攻击_ZendFramework_3.0_反序列化_代码执行[CVE-2021-3007][CNNVD-202101-025]
宁静类型：   宁静漏洞
事件描述：   检测到源IP利用目的ip上ZendFramework3.0的反序列化漏洞结构序列化文本从而执行远程命令执行的行为。ZENDZendFramework（ZF）是美国Zend（ZEND）公司的一套开源的PHP开发框架，它主要用于开发Web法式和服务。
更新时间：   20221122

事件名称：   HTTP_信息泄露_Swagger-api工具_敏感文件访问
宁静类型：   CGI攻击
事件描述：   Swagger是一款RESTFUL接口的、基于YAML、JSON语言的文档在线自动生成、代码自动生成的工具。spring框架中也会使用Swagger：springfox-swagger2（2.4）springfox-swagger-ui（2.4），相关文件夹被访问有信息泄露风险。
更新时间：   20221122

事件名称：   HTTP_宁静漏洞_ToTolink_N600R路由器_Exportovpn_未授权命令注入
宁静类型：   宁静漏洞
事件描述：   检测到源IP主机正试图通过ToTolinkN600R路由器Exportovpn命令注入漏洞攻击目的IP主机。在ToTolinkN600R路由器的cstecgi.cgi文件中，exportovpn接口存在命令注入，攻击者可借此未验证远程执行恶意命令。
更新时间：   20221122

事件名称：   HTTP_宁静漏洞_若依CMS_远程命令执行漏洞
宁静类型：   宁静漏洞
事件描述：   若依后台管理系统使用了snakeyaml的jar包，snakeyaml是用来解析yaml的格式，可用于Java工具的序列化、反序列化。由于若依后台计划任务处，对于传入的"调用目标字符串"没有任何校验，导致攻击者可以结构payload远程调用jar包，从而执行任意命令。
更新时间：   20221122

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

技术支持

每周升级通告-2022-11-22

关于东森平台

解决方案

宁静研究

联系东森平台

7*24小时服务热线