东森平台

首页 > 技术支持 > 升级通告 > 每周升级通告

每周升级通告-2023-05-02

宣布时间 2023-05-02

新增事件

事件名称：	HTTP_提权攻击_Linux可疑命令执行攻击
宁静类型：	宁静漏洞
事件描述：	命令注入攻击，是指这样一种攻击手段，黑客通过把系统命令加入到web请求页面头部信息中，一个恶意黑客以利用这种攻击要领来非法获取数据或者网络、系统资源。null
更新时间：	20230502

事件名称：	ICMP_横向移动_内网信息收集_Fscan_1.8.2_ICMP扫描
宁静类型：	宁静扫描
事件描述：	Fscan是一款使用go语言实现的扫描工具，其拥有探测主机存活、收集信息、扫描漏洞、爆破密码、漏洞利用等多种功效，攻击者可以利用该工具对域内资产情况做开端的筛选和梳理，该事件主要检测1.8.2版本中Fscan工具的icmp扫描模式。
更新时间：	20230502

事件名称：	DNS_命令控制_远控后门_Raccoon.Stealer_解析C2域名请求
宁静类型：	木马后门
事件描述：	检测到Raccoon.Stealer木马实验解析C2域名。源IP所在的主机可能被植入了Raccoon.Stealer。 Raccoon也被称为 Mohazo或Racealer，是一个功效强大的窃密木马。它可以窃取主流浏览器、Cryptocurrency Wallets、Emails等客户端生存的账号密码。
更新时间：	20230502

事件名称：	DNS_命令控制_远控后门_Necurs_C2域名解析请求
宁静类型：	木马后门
事件描述：	检测到Necurs 木马实验解析C2域名。Necurs 僵尸网络于 2012 年首次被发现，它由几百万台受熏染的设备组成，一直致力于分发银行恶意软件、加密劫持恶意软件、勒索软件以及每次运行时发送给数百万收件人的种种电子邮件进行诈骗。
更新时间：	20230502

事件名称：	HTTP_其它注入_Apache-solr_服务器请求伪造漏洞[CVE-2017-3164][CNNVD-201902-575]
宁静类型：	注入攻击
事件描述：	检测到源IP主机正在利用ApacheSolr服务器请求伪造漏洞对目的主机进行攻击的行为。 Apache Solr在 1.3-7.6 版本中的ReplicationHandler类对输入数据数据处置不妥，存在服务器请求伪造漏洞。结构恶意请求，可以探测服务器资源，进而攻击服务器内网。
更新时间：	20230502

事件名称：	HTTP_漏洞利用_Apache-Solr_信息泄露[CVE-2021-44548]
宁静类型：	CGI攻击
事件描述：	检测到源IP主机正在利用Apache Solr 信息泄露漏洞对目的主机进行攻击的行为。 ApacheSolr是一个开源的搜索服务，使用Java编写、运行在Servlet容器的一个独立的全文搜索服务器，是ApacheLucene项目的开源企业搜索平台。该漏洞影响了8.11.1之前的所有Apache Solr版本（仅影响Windows平台）。Apache Solr的DataImportHandler中存在一个不正确的输入验证漏洞，可利用Windows UNC路径从Solr主机调用网络上的另一台主机的SMB服务，或导致SMB攻击，从而造成敏感数据泄露。
更新时间：	20230502

事件名称：	TCP_木马后门_Gh0st.SQ_连接C2服务器
宁静类型：	木马后门
事件描述：	检测到远控后门试图连接远程服务器。源IP所在的主机可能被植入了远控后门Gh0st.SQ。Gh0st.SQ是一款基于Gh0st源码魔改的远控后门，运行后可以完全控制被植入机器。通过供应链攻击的形式进行流传，攻击者伪造高仿的软件下载页面，并在各大搜索引擎投放广告，引导用户下载安装捆绑远程控制木马的恶意安装包。
更新时间：	20230502

修改事件

事件名称：	HTTP_僵尸网络_Andromeda_连接
宁静类型：	木马后门
事件描述：	检测到僵尸网络Andromeda试图连接远程服务器，源IP所在的主机可能被植入了Andromeda。Andromeda是一个�？榛慕┦�，最原始的文件仅包罗一个加载器。运行期间，会从C&C服务器下载种种�？�，同时也具有反虚拟机和反调试的功效。
更新时间：	20230502

事件名称：	HTTP_漏洞利用_命令执行_Apache_Solr_RunExecutableListener[CVE-2017-12629][CNNVD-201710-501]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用ApacheSolrsolr远程命令执行漏洞对目的主机进行攻击的行为。ApacheSolr是Apache开发的一个开源的基于Lucene的全文搜索服务器。其集合的配置要领（config路径）可以增加和修改监听器，通过RunExecutableListener执行任意系统命令。
更新时间：	20230502

事件名称：	HTTP_Apache_Solr远程反序列化代码执行漏洞[CVE-2019-0192][CNNVD-201903-229]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用Apache Solr远程反序列化代码执行漏洞对目的主机进行攻击的行为。 Apache Solr是一个开源的搜索服务器。Solr使用Java语言开发，主要基于HTTP和 Apache Lucene实现。Apache Solr solr.RunExecutableListener类存在远程代码执行漏洞，攻击者向网站发送精心结构的攻击payload，攻击乐成可以远程执行任意命令，进而控制服务器。通过调用Config API修改jmx.serviceUrl属性指向恶意的RMI服务，导致Apache Solr泛起远程反序列化代码执行的宁静漏洞。实验进行任意文件读取，窃取敏感信息。
更新时间：	20230502

事件名称：	HTTP_提权攻击_Apache_Solr_Velocity_远程代码执行[CVE-2020-13957]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用Apache_Solr_Velocity远程代码执行漏洞攻击目的IP主机的行为攻击乐成，可远程执行任意代码。
更新时间：	20230502

事件名称：	HTTP_提权攻击_Apache_Solr_远程代码执行漏洞[CVE-2019-17558][CNNVD-201912-1225]
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正在利用ApacheSolrVelocityResponseWriter远程代码执行漏洞对目的主机进行攻击的行为。ApacheSolr是美国阿帕奇（Apache）软件基金会的一款基于Lucene（一款全文搜索引擎）的搜索服务器。该产物支持层面搜索、垂直搜索、高亮显示搜索结果等。ApacheSolr5.0.0版本至8.3.1版本中存在输入验证错误漏洞。该漏洞源于网络系统或产物未对输入的数据进行正确的验证。攻击者向网站发送精心结构的攻击payload，攻击乐成可以远程执行任意命令，进而控制服务器。实验进行任意文件读取，窃取敏感信息。
更新时间：	20230502

事件名称：	HTTP_宁静漏洞_ToTolink_N600R路由器_Exportovpn_未授权命令注入
宁静类型：	宁静漏洞
事件描述：	检测到源IP主机正试图通过ToTolinkN600R路由器Exportovpn命令注入漏洞攻击目的IP主机。在ToTolinkN600R路由器的cstecgi.cgi文件中，exportovpn接口存在命令注入，攻击者可借此未验证远程执行恶意命令。
更新时间：	20230502

事件名称：	HTTP_Apache_Solr_SSRF漏洞[CVE-2021-27905]
宁静类型：	注入攻击
事件描述：	ApacheSolr是一个开源的搜索服务，使用Java编写、运行在Servlet容器的一个独立的全文搜索服务器，是ApacheLucene项目的开源企业搜索平台。该漏洞是由于没有对输入的内容进行校验，攻击者可利用该漏洞在未授权的情况下，结构恶意数据执行SSRF攻击，最终造成任意读取服务器上的文件。
更新时间：	20230502

事件名称：	HTTP_提权攻击_Spring_Boot_Actuator_mysqljdbc_远程代码执行
宁静类型：	宁静漏洞
事件描述：	检测到源ip正在利用Actuator的/env接口设置属性将spring.datasource.url设置为外部恶意mysqljdbcurl地址。SpringBootActuator是一款可以资助你监控系统数据的框架,其可以监控很多很多的系统数据,它有对应用系统的自省和监控的集乐成能，可以检察应用配置的详细信息。
更新时间：	20230502

事件名称：	HTTP_提权攻击_PHP_imap_命令执行[CVE-2018-19518][CNNVD-201811-666]
宁静类型：	宁静漏洞
事件描述：	在PHP和其他产物的imap_open（）中使用的UNIX上的华盛顿大学IMAP工具包2007f启动rsh命令（借助于c-client/imap4r1.c中的imap_rimap函数和osdep/unix/tcp_unix中的tcp_aopen函数.c），而不会阻止参数注入，如果IMAP服务器名称是不受信任的输入（例如，由Web应用法式的用户输入），而且rsh已被具有差异参数的法式替换，则远程攻击者可能会执行任意OS命令语义。例如，如果rsh是ssh的链接（如在Debian和Ubuntu系统上看到的），则攻击可以使用包罗“-oProxyCommand”参数的IMAP服务器名称。
更新时间：	20230502

事件名称：	TCP_提权攻击_Flask内存马注入_代码执行
宁静类型：	宁静漏洞
事件描述：	检测到目前目的主机上的Flask服务在开放了添加路由功效的情况下，受到注入代码执行攻击。Flask是一个使用Python编写的轻量级Web应用框架。其WSGI工具箱接纳Werkzeug，模板引擎则使用Jinja2。
更新时间：	20230502

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号