东森平台

首页 > 技术支持 > 升级通告 > 每周升级通告

每周升级通告-2023-02-07

宣布时间 2023-02-07

新增事件

事件名称：	HTTP_木马后门_Merlin_连接C2服务器
宁静类型：	木马后门
事件描述：	检测到Merlin_agent试图连接远程服务器。源IP所在主机可能被植入了Merlinagent。Merlinagent是一个功效非常强大的后门，运行后，可以完全控制被植入机器。允许攻击者完全控制被植入机器。允许攻击者控制被植入机器。
更新时间：	20230207

事件名称：	HTTP_漏洞利用_代码执行_F5_BIGIP_WSDL格式字符串漏洞[CVE-2023-22374]
宁静类型：	宁静漏洞
事件描述：	F5BIG-IP的iControlPortal.cgi接口存在漏洞，攻击者在经过身份校验的情况下可通过结构特殊payload，使目标主机服务崩�；蚧袢≈骰ㄏ�。此问题仅影响BIG-IP(不影响BIG-IQ)影响版本:F5BIG-IP17.0.0F5BIG-IP16.1.2.2-16.1.3F5BIG-IP15.1.5.1-15.1.8F5BIG-IP14.1.4.6-14.1.5F5BIG-IP13.1.5
更新时间：	20230207

事件名称：	TCP_僵尸网络_HinataBot_连接
宁静类型：	木马后门
事件描述：	检测到HinataBot试图连接C&C服务器，源IP主机可能被植入了僵尸网络HinataBot。HinataBot是Go语言编写的DDoS僵尸网络，主要功效是对指定目标提倡DDoS攻击。共支持linux、windows、freebsd、netbsd、openbsd、solaris、darwin、dragonfly、plan9、android等10个操作系统。支持386、amd64、arm、mips、ppc等多个指令集。
更新时间：	20230207

事件名称：	HTTP_提权攻击_Apache_APISIX_默认密钥[CVE-2020-13945][CNNVD-202012-424]
宁静类型：	宁静漏洞
事件描述：	检测到源ip主机正在利用ApacheAPISIX的默认密钥漏洞进行攻击，在用户未指定管理员Token或使用了默认配置文件的情况下，ApacheAPISIX将使用默认的管理员Tokenedd1c9f034335f136f87ad84b625c8f1，攻击者利用这个Token可以访问到管理员接口，进而通过script参数来插入任意LUA脚本并执行。
更新时间：	20230207

事件名称：	TCP_木马后门_Gh0st.Get_连接
宁静类型：	木马后门
事件描述：	检测到Gh0st.Get试图连接远程服务器。源IP所在的主机可能被植入了远控后门Gh0st.Get。Gh0st.Get是利用一个凭据Gh0st远控的源码修改而来的远控后门，运行后可以完全控制被植入机器。
更新时间：	20230207

事件名称：	HTTP_僵尸网络_LiteHTTP_连接C2服务器
宁静类型：	木马后门
事件描述：	检测到LiteHTTP试图连接C&C服务器。LiteHTTP是一个使用C#编写的开源僵尸网络恶意软件，项目地址为：https://github.com/zettabithf/LiteHTTP，项目有3个目录，Bot是病毒法式的代码，Panel是控制端的代码，使用PHP编写，Builder是一个生成器，用于快速生成病毒法式。LiteHTTP可以收集主机信息，使用预先约定的密钥进行加密，然后将加密后的信息以HTTP的方式上传至控制端服务器，接受控制端的控制码并执行相应的操作，上传执行的结果。
更新时间：	20230207

事件名称：	HTTP_文件操作攻击_Zimbra_文件上传[CVE-2022-27925][CVE-2022-37042][CNNVD-202204-3909]
宁静类型：	宁静漏洞
事件描述：	ZimbraCollaborationSuite(ZCS)8.8.15和9.0具有mboximport功效，可接收ZIP存档并从中提取文件。通过绕过身份验证（即没有身份验证令牌），攻击者可以将任意文件上传到系统，从而导致目录遍历和远程代码执行。
更新时间：	20230207

修改事件

事件名称：	TCP_提权攻击_Weblogic_ForeignOpaqueReference组件_JNDI注入_代码执行[CVE-2023-21839]
宁静类型：	宁静漏洞
事件描述：	OracleWebLogicServer是一个统一的可扩展平台，用于在当地和云端开发、部署和运行企业应用法式，例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)和JakartaEE的可靠、成熟和可扩展的实现。由于ForeignOpaqueReference类存在宁静问题，CVE-2023-21839漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器，乐成利用此漏洞可能导致OracleWebLogic服务器被接管或敏感信息泄露。影响范围：OracleWebLogicServer12.2.1.3.0OracleWebLogicServer12.2.1.4.0OracleWebLogicServer14.1.1.0.0
更新时间：	20230207

事件名称：	HTTP_漏洞利用_文件上传_ZOHO_ManageEngine_Desktop_Central_statusUpdate[CVE-2014-5005]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用ZOHOManageEngineDesktopCentral中存在的漏洞进行攻击的行为。ZOHOManageEngineDesktopCentral（DC）是美国卓豪（ZOHO）公司的一套桌面管理解决方案。该方案包罗软件分发、补丁管理、系统配置、远程控制等功效�？�，可对桌面机以及服务器管理的整个生命周期提供支持。ZOHOManageEngineDC9build90055之前版本中存在一个目录遍历造成的任意文件上传漏洞，该漏洞源于法式执行LFU操作时，statusUpdate没有充实过滤‘fileName’参数，远程攻击者可借助目录遍历字符‘..’，上传任意文件。
更新时间：	20230207

事件名称：	HTTP_提权攻击_Splunk_代码执行[CVE-2022-43571]
宁静类型：	宁静漏洞
事件描述：	SplunkEnterprise是机器数据的引擎。使用Splunk可收集、索引和利用所有应用法式、服务器和设备生成的快速移动型计算机数据。关联并分析跨越多个系统的庞大事件�；袢⌒绿趵淼脑擞杉砸约�IT和业务智能。由于SplunkEnterprise中SimpleXML仪表板存在代码注入，经过身份验证的远程攻击者可结构特制的数据包，通过PDF导出操作触发任意代码执行。
更新时间：	20230207

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号