东森平台

首页 > 技术支持 > 升级通告 > 每周升级通告

每周升级通告-2023-04-04

宣布时间 2023-04-04

新增事件

事件名称：	HTTP_漏洞利用_未授权访问_Apache_ShenYu_管理系统[CVE-2021-37580]
宁静类型：	宁静漏洞
事件描述：	检测到源ip正在利用ApacheShenYu管理系统的未授权登录漏洞，攻击者可通过该漏洞绕过JSONWebToken(JWT)宁静认证，直接进入系统后台。ApacheShenYu是一个异步的，高性能的，跨语言的，响应式的API网关。
更新时间：	20230404

事件名称：	DNS_命令控制_木马后门_3CXDesktop.Backdoor_连接服务器
宁静类型：	宁静漏洞
事件描述：	3CXDesktop App部门版本在构建安装法式时，会触发攻击者嵌入的恶意代码，并下载下一步恶意负载至受害主机执行。 3CXDesktop App适用于Linux、MacOS和Windows。用户可使用3CXDesktop进行文字、语音、视频交互。3CX是一家VoIP IPBX软件开发公司，声称拥有凌驾60万家公司和1200万用户使用，其中包罗汽车、航空航天、金融、食品饮料、政府、酒店等多个行业的知名企业。
更新时间：	20230404

事件名称：	DNS_命令控制_远控后门_毒云藤_连接C2服务器
宁静类型：	宁静漏洞
事件描述：	发现毒云藤钓鱼事件。毒云藤，又名绿斑、APT-C-01等，是一个恒久针对国内国防、政府、科技和教育领域的重要机构实施网络间谍攻击活动的APT团伙，最早可以追溯到2007年。该组织惯用鱼叉式钓鱼网络攻击，会选取与攻击目标贴合的诱饵内容进行攻击活动，惯用的主题包罗通知、会议质料、研究陈诉等或是接纳攻击时间段时事主题。除了附件投递木马外，毒云藤还惯用钓鱼网站钓鱼，窃取目标的账户密码，进而获得更多重要信息。该组织主要关注偏向包罗：海事、军工、涉台两岸关系、中美关系等。
更新时间：	20230404

事件名称：	DNS_木马_双枪木马(DoubleGun)_C2域名解析请求
宁静类型：	木马后门
事件描述：	双枪木马自己集Rootkit和Bootkit(同时熏染MBR和VBR)于一身，还有诸多反抗措施。除此之外，双枪木马恶意活动相关的网络基础设施十分庞杂，熏染路径繁琐、流传手段多样。该事件表明双枪木马正在请求恶意C2域名。
更新时间：	20230404

事件名称：	DNS_木马后门_魔盗_C2域名解析请求
宁静类型：	木马后门
事件描述：	2022年9月，我们监测到一批伪装成CorelDraw、Notepad++、IDA Pro、WinHex等多款实用软件进行流传的窃密木马。通过跟踪监测发现其每日上线境内肉鸡数（以IP数计算）最多已凌驾1.3万，由于该窃密木马会收集浏览器书签、邮箱账户等信息，故我们将命名为“魔盗”。攻击者利用 “cdr[.]jyxwlkj.cn”及“cdrnb[.]jyxwlkj.cn”域名建立多个软件下载页面，用于投放伪装成实用软件的“魔盗”窃密木马。窃密木马运行后会收集受害者主机中已安装的软件列表与多款浏览器的历史记录、书签数据和邮件客户端邮箱账户信息，并加密回传至攻击者服务器。由于部门恶意法式具备在线升级能力，因此攻击者可随时更改攻击载荷（如勒索、挖矿、窃密等差异目的的攻击载荷），给受害者造成更大损失。
更新时间：	20230404

事件名称：	HTTP_漏洞利用_文件上传_致远OA_htmlofficeservlet
宁静类型：	宁静漏洞
事件描述：	检测到源ip主机正在利用致远OA中存在的文件上传漏洞进行攻击。远程攻击者在无需登录的情况下可通过向/seeyon/htmlofficeservlet发送精心结构的数据即可向目标服务器写入任意文件，写入乐成后可执行任意系统命令进而控制目标服务器。
更新时间：	20230404

事件名称：	HTTP_漏洞利用_反序列化_Apache_InLong_JDBC[CVE-2023-27296]
宁静类型：	宁静漏洞
事件描述：	Apache InLong是一个用于海量数据的一站式集成框架，提供自动、宁静和可靠的数据传输功效。InLong同时支持批处置和流数据处置，为基于流数据构建数据分析、建模和其他实时应用法式提供了强大的能力。由于其存在不宁静的反序列化漏洞，攻击者可通过精心结构的payload攻击目标服务器，造成任意代码执行或任意文件读取。
更新时间：	20230404

事件名称：	HTTP_漏洞利用_代码执行_pyLoad-pyimport[CVE-2023-0297]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用目的主机上的pyLoad（小于0.5.0b3.dev31），利用js2py功效的未授权漏洞，结构恶意python代码进行攻击。pyLoad是一个用Python编写的免费和开源下载管理器，可用于NAS、下一代路由器、无头家庭服务器以及任何能够连接到互联网并支持Python编程语言的设备。
更新时间：	20230404

修改事件

事件名称：	HTTP_宁静风险_配置信息_Swagger接口
宁静类型：	宁静审计
事件描述：	Swagger是一款RESTFUL接口的、基于YAML、JSON语言的文档在线自动生成、代码自动生成的工具。spring框架中也会使用Swagger：springfox-swagger2（2.4）springfox-swagger-ui（2.4），相关文件夹被访问有信息泄露风险。
更新时间：	20230404

事件名称：	TCP_提权攻击_Weblogic_ForeignOpaqueReference组件_JNDI注入_代码执行[CVE-2023-21839]
宁静类型：	宁静漏洞
事件描述：	OracleWebLogicServer是一个统一的可扩展平台，用于在当地和云端开发、部署和运行企业应用法式，例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)和JakartaEE的可靠、成熟和可扩展的实现。由于ForeignOpaqueReference类存在宁静问题，CVE-2023-21839漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器，乐成利用此漏洞可能导致OracleWebLogic服务器被接管或敏感信息泄露。影响范围：OracleWebLogicServer12.2.1.3.0OracleWebLogicServer12.2.1.4.0OracleWebLogicServer14.1.1.0.0
更新时间：	20230404

事件名称：	TCP_漏洞利用_Oracle_反序列化_Weblogic_T3协议[CVE-2020-14756][CVE-2021-2394]
宁静类型：	宁静漏洞
事件描述：	OracleWebLogicServer是一个统一的可扩展平台，用于在当地和云端开发、部署和运行企业应用法式，例如Java。WebLogicServer提供了JavaEnterpriseEdition(EE)和JakartaEE的可靠、成熟和可扩展的实现。CVE-2020-2555漏洞可以绕过黑名单通过反序列化触发Extractor中不宁静的extract要领，允许未经身份验证的远程攻击者通过T3协议网络访问并破坏易受攻击的WebLogic服务器，乐成利用此漏洞可能导致OracleWebLogic服务器被接管或敏感信息泄露。影响范围：OracleCoherence10.3.6.0.0OracleCoherence12.1.3.0.0OracleCoherence12.2.1.3.0OracleCoherence12.2.1.4.0
更新时间：	20230404

事件名称：	HTTP_僵尸网络_Andromeda_连接
宁静类型：	木马后门
事件描述：	检测到僵尸网络Andromeda试图连接远程服务器，源IP所在的主机可能被植入了Andromeda。Andromeda是一个�？榛慕┦�，最原始的文件仅包罗一个加载器。运行期间，会从C&C服务器下载种种�？�，同时也具有反虚拟机和反调试的功效。
更新时间：	20230404

事件名称：	HTTP_漏洞利用_命令执行_宏电H8922[CVE-2021-28150][CNNVD-202105-280]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用目的IP主机宏电H8922路由器的tools.cgi里的漏洞进行远程命令执行攻击。H8922是深圳市宏电技术股份有限公司的一款工业路由器，利2G/3G/4G无线网络为用户提供无线长距离数据传输功效，主要应用于金融、交通、电力、环保、工业自动化、商业连锁等行业。HongdianH89223.0.5里的tools.cgi存在宁静漏洞，该漏洞允许非特权用户通过默认用户进入后台执行任意系统命令。
更新时间：	20230404

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号