每周升级通告-2022-04-19

宣布时间 2022-04-19
新增事件

 

事件名称:

HTTP_可疑行为_飞塔SSL-VPN文件读取漏洞[CVE-2018-13379][CNNVD-201905-1026]

宁静类型:

木马后门

事件描述:

发现目标正在遭受飞塔SSL-VP.N文件读取漏洞[CVE-2018-13379]攻击

更新时间:

20220419


事件名称:

HTTP_宁静漏洞_Apache-Tapestry-HMAC_信息泄露

宁静类型:

CGI攻击

事件描述:

ApacheTapestry是一种用Java编写的面向组件的Web应用法式框架 。Tapestry可以在任何应用法式服务器下事情,而且可以轻松集成所有后端,如Spring,Hibernate等 。http://localhost:8080/assets/something/services/AppModule.class/在黑名单检查后,斜线被剥离,AppModule.class文件被加载到响应中 。这个类通常包罗用于对序列化的Java工具进行签名的HMAC秘钥,在知道该密钥的情况下,攻击者就可以签署Java小工具链(例如ysoserial的CommonsBeanUtils1),最终导致远程代码执行(CVE-2021-27850) 。CVE-2021-27850影响范围:ApacheTapestry5.4.5ApacheTapestry5.5.0ApacheTapestry5.6.2ApacheTapestry5.7.0

更新时间:

20220419

 

事件名称:

HTTP_宁静漏洞_Apache_Kylin_未授权配置泄露漏洞[CVE-2020-13937][CNNVD-202010-896]

宁静类型:

CGI攻击

事件描述:

ApacheKylin是一个开源的漫衍式分析引擎,它最初由eBay开发,现在是ApacheSoftwareFoundation的项目 。ApacheKylin建立在ApacheHadoop,ApacheHive,ApacheHBase,ApacheParquet,ApacheCalcite,ApacheSpark和其他技术之上 。这些技术使Kylin可以轻松扩展以支持海量数据负载 。ApacheKylin有一个restfulapi会在没有认可认证的情况下袒露配置信息 。攻击者可利用该漏洞获取系统敏感信息 。

更新时间:

20220419

 

事件名称:

HTTP_宁静漏洞_Jira_未经身份验证用户名枚举漏洞[CVE-2020-14181][CNNVD-202009-1072]

宁静类型:

CGI攻击

事件描述:

AtlassianJira是企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等事情领域 。该漏洞可用于枚举用户账号 。

更新时间:

20220419

 

事件名称:

HTTP_Apache_Druid_远程命令执行漏洞[CVE-2021-26919][CNNVD-202101-2542]

宁静类型:

宁静漏洞

事件描述:

ApacheDruid使用JDBC从其它数据库读取数据,此功效是为了让受信任的用户通过适当的权限来设置查找或提交提取任务 。由于ApacheDruid默认情况下缺乏授权认证,攻击者可通过结构恶意请求执行任意代码,从而控制服务器 。

更新时间:

20220419

 

事件名称:

HTTP_IOT漏洞_Trend_Micro_InterScan_WebSecurity_Virtual_Appliance_命令注入漏洞[CVE-2020-8466][CNNVD-202012-1205]

宁静类型:

宁静漏洞

事件描述:

TrendMicroInterScanWebSecurityVirtualAppliance6.5SP2存在一个命令注入漏洞 。该漏洞是由于对HTTP请求中用户提供的数据的验证不妥造成的 。未经身份验证的远程攻击者可以通过向目标服务器发送恶意请求来利用这些漏洞,乐成利用这些漏洞可能允许在iscan帐户的宁静上下文中在目标服务器上执行任意命令 。

更新时间:

20220419

 

事件名称:

HTTP_宁静漏洞_Nexus_EL表达式注入漏洞[CVE-2018-16341]

宁静类型:

宁静漏洞

事件描述:

NuxeoPlatform是一款跨平台开源的企业级内容管理系统(CMS) 。由于nuxeo-jsf-ui组件处置facelet模板不妥,当访问的facelet模板不存在时,相关的文件名会输出到错误页面上,而错误页面会当成模板被解析,文件名包罗表达式会被输出同时被解析执行,从而导致远程代码执行漏洞 。

更新时间:

20220419

 

事件名称:

HTTP_宁静漏洞_Zoho_ManageEngine_Applications_Manager_upload.php_任意文件上传漏洞[CVE-2020-14008][CNNVD-202009-296]

宁静类型:

宁静漏洞

事件描述:

ZohoManageEngineApplicationsManager14710及之前版本允许经过身份验证的管理员用户在特定位置上传任意jar文件,从而导致远程代码执行 。

更新时间:

20220419

 

事件名称:

TCP_僵尸网络_Fodcha_连接

宁静类型:

木马后门

事件描述:

检测到僵尸网络Fodcha试图连接C&C服务器 。源IP所在的主机可能被植入了Fodcha 。Fodcha主要通过NDay漏洞和Telnet/SSH弱口令流传,包罗CVE-2021-22205、CVE-2021-35394、AndroidADBDebugServerRCE、LILINDVRRCE等漏洞 。每日上线境内肉鸡数以IP数计算已凌驾1万,且每日会针对凌驾100个攻击目标提倡DDoS攻击,攻击非�;钤� 。Fodcha使用ChaCha20加密和C&C的通信数据 。

更新时间:

20220419

  

事件名称:

HTTP_宁静漏洞_ExifTool_远程代码执行漏洞[CVE-2021-22204]

宁静类型:

宁静漏洞

事件描述:

ExifTool是一个独立于平台的Perl库,也有一个命令行应用法式,用于读取,写入和编辑种种文件中的元信息 。该漏洞是由于ExifTool版本7.44版本中存在对DjVu文件格式的数据处置不妥 。攻击者可利用该漏洞在含有漏洞版本的ExifTool库的应用服务器或者应用法式下,结构恶意DjVu文件,服务器或者应用法式远程当地解析此文件,导致任意代码执行,最终获取服务器最高权限 。

更新时间:

20220419

 

事件名称:

HTTP_宁静漏洞_IBM_QRada_远程代码执行漏洞[CVE-2018-1418][CNNVD-201804-1475]

宁静类型:

宁静漏洞

事件描述:

IBMQRadar是一款企业宁静信息和事件管理产物,用于资助宁静分析师识别其网络中的庞大威胁并改善事件修补措施 。IBMSecurityQRadarSIEM7.2和7.3存在一个远程命令执行漏洞,该漏洞允许用户绕过身份验证,并执行任意代码 。

更新时间:

20220419


事件名称:

TCP_后门_FatalRat_连接

宁静类型:

木马后门

事件描述:

检测到后门FatalRat试图连接远程服务器 。源IP所在的主机可能被植入了FatalRat 。FatalRat是一种庞大的C++RAT,可为攻击者实现广泛的远控功效 。紫狐木马PurpleFox自2018年以来就一直开始活跃 。最近PurpleFox通过革新其武器库,又开始了新一波的攻击 。其武器库就包罗了后门FatalRat 。

更新时间:

20220419

 

修改事件

 

事件名称:

HTTP_Struts2_S2-061远程命令执行攻击[CVE-2020-17530][CNNVD-202012-449][CVE-2020-17530/CVE-2021-31805][CNNVD-202012-449/CNNVD-202204-3223]

宁静类型:

宁静漏洞

事件描述:

检测到源IP主机正试图通过ApacheStruts2框架命令执行漏洞攻击目的IP主机 。攻击者可以通过结构恶意的请求,引发OGNL表达式解析,从而触发远程代码执行漏洞 。

更新时间:

20220419