GA黄金甲

首页 > 技术支持 > 升级布告 > 每周升级布告

每周升级布告-2022-07-05

颁布功夫 2022-07-05

新增事件

事务名称：	HTTP_安全缝隙_fastjson_1.2.60_反序列化远程代码执行缝隙
安全类型：	安全缝隙
事务描述:	检测到源IP主机在利用fastjsonJSON反序列化远程代码执行缝隙对主张主机进行攻击的行为，试图通过传入精心机关的恶意代码或号令来入侵主张IP主机。FastJson是阿里巴巴的开源JSON解析库，它能够解析JSON体式的字符串，支持将JavaBean序列化为JSON字符串，也能够从JSON字符串反序列化到JavaBean，由于拥有执行效能高的特点，利用领域很广。攻击成功，可远程执行肆意代码。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_fastjson_1.2.67_反序列化远程代码执行缝隙
安全类型：	安全缝隙
事务描述:	Fastjson是一个Java库，能够将Java对象转换为JSON体式，fastjson存在远程代码执行高危安全缝隙。攻击者通过发送一个精心机关的JSON序列化恶意代码，当法式执行JSON反序列化的过程中执行恶意代码，从而导致远程代码执行。
更新功夫：	20220705

事务名称：	TCP_木马_BeamMiner_挖矿成功(BEAM)
安全类型：	蠕虫病毒
事务描述:	检测到矿机向矿池提交挖矿了局的行为。源IP地点的主机可能被植入了BeamMiner挖矿木马。BeamMiner是一款挖矿恶意法式，挖矿法式会占用CPU资源，可能导致受害主机变慢。Beam是基于MimbleWimble和谈开发的加密钱币，拥有强隐衷性、代替性和扩大性。Beam所有买卖都默认是私密的。新节点参与网络无需同步整个买卖汗青，能够要求同步只蕴含系统状态的压缩汗青纪录和区块头，从而实现急剧同步。
更新功夫：	20220705

事务名称：	TCP_后门_Win32.WarZoneRat_衔接(扫描)
安全类型：	安全扫描
事务描述:	检测到源IP主机在对主张IP主机进行扫描。WarZoneRat是一个职能壮大的远控，运行后可齐全节造被植入机械。本事务报警不是真实攻击，仅仅意味着源IP主机在对主张IP主机进行扫描。源IP通常属于Shodan扫描主机，主张IP是客户主机。源IP主机仿照WarZoneRat样本向主张IP主机发奉上线报文，若是收到进展的返回数据，即以为主张IP主机上运行着Gh0st节造端，是WarZoneRat的C&C服务。Shodan就是通过这种扫描来获取恶意软件的C&C服务器，除Shodan表，其它一些威胁谍报公司的IP主机也在进行着这种扫描。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_WordPress-3DPrint-Lite_肆意文件上传
安全类型：	安全缝隙
事务描述:	WordPress3DPrintLiteVersion1.9.1.4版本中的3dprint-lite-functions.php文件存在文件上传缝隙，攻击者通过机关要求包能够上传肆意文件获取服务器权限。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_Webmin_远程号令执行缝隙[CVE-2019-12840][CNNVD-201906-632]
安全类型：	安全缝隙
事务描述:	检测到源IP主机在利用Webmin1.910和更早版本中的update.cgi允许远程经过身份验证的用户执行肆意号令。Webmin是职能最壮大的基于Web的Unix系统治理工具。治理员通过浏览器接见Webmin的各类治理职能并实现相应的治理作为。
更新功夫：	20220705

事务名称：	TCP_Java反序列化_CommonsCollections11_利用链攻击
安全类型：	安全缝隙
事务描述:	检测到源IP主机在利用CommonsCollections11的Java反序列化利用链对主张主机进行攻击的行为。若接见的利用存在缝隙JAVA反序列化缝隙且使用了CommonsCollections3.1-3.2.1，攻击者能够发送精心机关的Java序列化对象，远程执行肆意代码或号令。远程执行肆意代码，获取系统节造权。
更新功夫：	20220705

事务名称：	TCP_可疑行为_URLClassLoader远程加载恶意类
安全类型：	安全缝隙
事务描述:	检测到源IP主机在利用URLClassLoader的Java远程加载恶意类对主张主机进行攻击的行为。攻击者能够发送精心机关的Javapayload，远程加载恶意类执行肆意代码或号令。远程执行肆意代码，获取系统节造权。
更新功夫：	20220705

事务名称：	TCP_可疑行为_JNDI远程加载恶意类
安全类型：	安全缝隙
事务描述:	检测到源IP主机在利用JNDI的lookup步骤远程加载恶意类对主张主机进行攻击的行为。攻击者能够发送精心机关的Javapayload，远程加载恶意类执行肆意代码或号令。远程执行肆意代码，获取系统节造权。
更新功夫：	20220705

事务名称：	TCP_可疑行为_Shiro_JNDI远程加载恶意类
安全类型：	安全缝隙
事务描述:	检测到源IP主机在利用ShiroJNDI的lookup步骤远程加载恶意类对主张主机进行攻击的行为。攻击者能够发送精心机关的Javapayload，远程加载恶意类执行肆意代码或号令。远程执行肆意代码，获取系统节造权。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_万户OA_fileUpload.controller_肆意文件上传缝隙
安全类型：	安全缝隙
事务描述:	万户OA存在一个肆意文件上传缝隙，攻击者能够通过fileUpload.controller接口上传恶意文件。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_灵通OA_update.php_文件蕴含缝隙
安全类型：	安全缝隙
事务描述:	灵通OAv11.8以下的版本存在一个文件蕴含缝隙。攻击者能够通过利用PHP的.user.ini文件来蕴含其他恶意文件绕过灵通OA的文件上传限度。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_Jackson_反序列化_代码执行[CVE-2020-14060][CNNVD-202006-997]
安全类型：	安全缝隙
事务描述:	FasterXMLjackson-databind2.x,2.9.10.5版本之前的oadd.org.apache.xalan.lib.sql.JNDIConnectionPool谬误地处置了与oadd有关的序列化gadgets和输入之间的交互
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_Jackson_反序列化_代码执行[CVE-2020-14062][CNNVD-202006-996]
安全类型：	安全缝隙
事务描述:	FasterXMLjackson-databind2.x,2.9.10.5版本之前的com.sun.org.apache.xalan.internal.lib.sql.JNDIConnectionPool谬误地处置了与oadd有关的序列化gadgets和输入之间的交互
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_Jackson_反序列化_代码执行[CVE-2020-14195][CNNVD-202006-1070]
安全类型：	安全缝隙
事务描述:	FasterXMLjackson-databind2.x,2.9.10.5版本之前的org.jsecurity.realm.jndi.JndiRealmFactory谬误地处置了与oadd有关的序列化gadgets和输入之间的交互
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_Jackson_反序列化_代码执行[CVE-2020-24750][CNNVD-202009-1066]
安全类型：	安全缝隙
事务描述:	FasterXMLjackson-databind2.x,2.9.10.5版本之前的com.pastdev.httpcomponents.configuration.JndiConfiguration谬误地处置了与oadd有关的序列化gadgets和输入之间的交互
更新功夫：	20220705

事务名称：	HTTP_安全事务_GitLab_远程号令执行[CVE-2018-19571][CVE-2018-19585]
安全类型：	安全缝隙
事务描述:	GitLab是一个用于仓库治理系统的开源项目，其使用Git作为代码治理工具，可通过Web界面接见公开或个人项目。在11.4.7版本之前，该项目存在远程代码执行缝隙，攻击者可机关恶意payload以获取服务器权限。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_Mitel_MiVoice_Connect_远程代码执行[CVE-2022-29499][CNNVD-202204-4387]
安全类型：	安全缝隙
事务描述:	检测到主张ip为攻击者ip，通过源ip存在数据验证不正确的缝隙，能够通过vtest.php的get_url参数进行本地文件利用，从而使得源ip向主张ip（攻击者）发送敏感信息，或反弹shell，导致进一步攻击。MitelMiVoiceConnect是加拿大MitelNetworks公司的一款用于集中治理MitelNetworks的呼叫处置和合作工具的软件。
更新功夫：	20220705

事务名称：	HTTP_幼鱼易连视频系统_LUA剧本配置谬误_远程号令执行
安全类型：	安全缝隙
事务描述:	幼鱼易连视频会议系统LUA剧本权限分配不当,导致肆意用户可利用root权限执行号令，攻击者利用此缝隙可齐全获取系统权限。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_中远麒麟_iAudit碉堡机_get_luser_by_sshport.php_远程号令执行缝隙
安全类型：	安全缝隙
事务描述:	中远麒麟iAudit碉堡机get_luser_by_sshport.php文件存在号令拼接，攻击者通过缝隙可获取服务器权限。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_天融信_TopApp-LB_enable_tool_debug.php_远程号令执行缝隙
安全类型：	安全缝隙
事务描述:	天融信TopSec-LBenable_tool_debug.php文件存在远程号令执行缝隙，通过号令拼接攻击者能够执行肆意号令。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_深折服利用交付治理系统_sys_user.conf_账号密码泄漏
安全类型：	CGI攻击
事务描述:	深折服利用交付治理系统文件sys_user.conf可在未授权的情况下直接接见，导致账号密码泄漏。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_深折服利用交付报表系统_download.php_肆意文件读取缝隙
安全类型：	安全缝隙
事务描述:	深折服利用交付报表系统download.php文件存在肆意文件读取缝隙，攻击者通过缝隙能够下载服务器肆意文件。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_深折服利用交付报表系统_login.php_号令注入缝隙
安全类型：	安全缝隙
事务描述:	深折服利用交付报表系统（4.5以下版本）存在一个号令注入缝隙，该缝隙源于对传入的userPsw和userID过滤不严谨导致，允许远程攻击者使用特造要求执行肆意号令。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_绿盟UTS综合威胁探针_信息泄露
安全类型：	CGI攻击
事务描述:	绿盟UTS综合威胁探针某个接口未做授权导致未授权接见，其中蕴含部门账号密码信息，攻击者可利用来进行登录绕过。
更新功夫：	20220705

事务名称：	DNS_可疑行为_GotoHTTP远程衔接工具使用
安全类型：	可疑行为
事务描述:	Gotohttp是一款远程桌面工具，可能为黑客在使用。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_Microsoft_Exchange_Server_远程代码执行缝隙[CVE-2020-16875][CNNVD-202009-374]
安全类型：	安全缝隙
事务描述:	由于对cmdlet参数的验证不正确，MicrosoftExchange服务器中存在远程执行代码缝隙。成功利用此缝隙的攻击者能够在系统用户的高低文中运行肆意代码。利用此缝隙必要已通过身份验证的用户拥有受到威胁的特定Exchange角色。此安全更新通过更正MicrosoftExchange处置cmdlet参数的方式来建复此缝隙。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_CMS-Discuz:X_uc_center后盾代码执行
安全类型：	安全缝隙
事务描述:	Discuz!ML系统中，通过后盾批改Ucenter数据库衔接信息，可将恶意代码写入config/config_ucenter.php文件中，导致代码执行。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_Jackson_反序列化_代码执行[CVE-2019-14540][CNNVD-201909-716]
安全类型：	安全缝隙
事务描述:	Jackson是当前用的比力宽泛的，用来序列化和反序列化json的Java开源框架。在2.9.10之前的FasterXMLjackson-databind中由于com.zaxxer.hikari.HikariConfig处置数据问题，存在反序列化缝隙
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_CMS_Discuz!X3.4_肆意文件删除共同install过程getshell
安全类型：	安全缝隙
事务描述:	Discuz!ML系统装置后未登陆后盾时，可利用文件删除缝隙删掉install.lock文件，绕过对装置实现的判断可能再进行装置的过程，而后将恶意代码写入配置文件中从而执行肆意代码。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_Eyoucms_1.4.3_肆意文件写入
安全类型：	安全缝隙
事务描述:	EyouCms是基于TP5.0框架为主题开发的免费+开源的企业内容治理系统，专一企业建站用户需要提供海量各行业模板。在1.4.3版本以前，该系统中存在肆意文件写入缝隙，攻击者可机关恶意payload进行文件写入操作。
更新功夫：	20220705

事务名称：	HTTP_木马后门_Covenant_心跳包_衔接C2服务器
安全类型：	木马后门
事务描述:	Covenant是一个.NET开发的C2(commandandcontrol)框架，使用.NETCore的开发环境，不仅支持Linux，MacOS和Windows，还支持docker容器。Covenant支持动态编译，可能将输入的C#代码上传至C2Server，获得编译后的文件并使用Assembly.Load()从内存进行加载。该事务批注，Covenant的天生物Grunts在利用心跳报文与C2服务器维持衔接。
更新功夫：	20220705

批改事务

事务名称：	HTTP_安全缝隙_fastjson_1.2.47_反序列化远程代码执行缝隙
安全类型：	安全缝隙
事务描述:	Fastjson是一个Java库，能够将Java对象转换为JSON体式，fastjson在1.2.47以及之前版本存在远程代码执行高危安全缝隙。攻击者通过发送一个精心机关的JSON序列化恶意代码，当法式执行JSON反序列化的过程中执行恶意代码，从而导致远程代码执行。
更新功夫：	20220705

事务名称：	HTTP_可疑行为_fastjson_反序列化加载BCEL
安全类型：	安全缝隙
事务描述:	Fastjson是一个Java库，能够将Java对象转换为JSON体式，fastjson在1.2.24以及之前版本存在远程代码执行高危安全缝隙。攻击者通过发送一个精心机关的JSON序列化恶意代码，当法式执行JSON反序列化的过程中执行恶意代码，从而导致远程代码执行。
更新功夫：	20220705

事务名称：	TCP_后门_Linux.DDoS.Gafgyt_节造号令
安全类型：	其他事务
事务描述:	检测到Gafgyt服务器试图发送号令给Gafgyt，主张IP主机被植入了Gafgyt。DDoS.Gafgyt是一个类Linux平台下的僵尸网络，重要职能是对指定指标机械提议DDoS攻击。对指定指标主机提议DDoS攻击。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_fastjson_1.2.45_反序列化远程代码执行缝隙[CVE-2017-18349]
安全类型：	安全缝隙
事务描述:	Fastjson是一个Java库，能够将Java对象转换为JSON体式，fastjson在1.2.24以及之前版本存在远程代码执行高危安全缝隙。攻击者通过发送一个精心机关的JSON序列化恶意代码，当法式执行JSON反序列化的过程中执行恶意代码，从而导致远程代码执行。
更新功夫：	20220705

事务名称：	HTTP_安全缝隙_fastjson_1.2.62_反序列化远程代码执行缝隙
安全类型：	安全缝隙
事务描述:	检测到源IP主机在利用fastjsonJSON反序列化远程代码执行缝隙对主张IP主机进行攻击的行为，试图通过传入精心机关的恶意代码或号令来入侵主张IP主机。FastJson是阿里巴巴的开源JSON解析库，它能够解析JSON体式的字符串，支持将JavaBean序列化为JSON字符串，也能够从JSON字符串反序列化到JavaBean，由于拥有执行效能高的特点，利用领域很广。攻击成功，可远程执行肆意代码。
更新功夫：	20220705

事务名称：	HTTP_通用_目录穿越缝隙[CVE-2019-11510/CVE-2020-5410/CVE-2019-19781/CVE-2020-5902]
安全类型：	安全缝隙
事务描述:	检测到源IP主机在尝试对主张IP主机进行目录穿越缝隙攻击尝试的行为。目录穿越缝隙能使攻击者绕过Web服务器的接见限度，对web根目录以表的文件夹，肆意地读取甚至写入文件数据。此规定是一条通用规定，其他缝隙（甚至一些0day缝隙）攻击的payload也有可能触发此事务报警。由于正常业务中通常不会产生此事务特点的流量，所以必要沉点关注。允许远程攻击者接见敏感文件。
更新功夫：	20220705

事务名称：	HTTP_灵通OA_肆意文件上传/文件蕴含缝隙
安全类型：	安全缝隙
事务描述:	灵通OA是一套办公系统。由于灵通OA中存在的两枚缝隙(文件上传缝隙，文件蕴含缝隙)，攻击者可通过这两枚缝隙实现远程号令执行。/ispirit/im/upload.php存在绕过登录(肆意文件上传缝隙)，结合gateway.php处存在的文件蕴含缝隙，最终导致getshell。
更新功夫：	20220705

事务名称：	HTTP_可疑行为_Fastjson_dnslog探测
安全类型：	安全审计
事务描述:	检测到源ip在利用dnslog探测主机后端是否是fastjson；
更新功夫：	20220705

事务名称：	HTTP_可疑行为_Fastjson缝隙_编码利用
安全类型：	可疑行为
事务描述:	FastJson是阿里巴巴的开源JSON解析库，它能够解析JSON体式的字符串，支持将JavaBean序列化为JSON字符串，也能够从JSON字符串反序列化到JavaBean，由于拥有执行效能高的特点，利用领域很广。攻击成功，可远程执行肆意代码。fastjson可接受并解析hex编码内容，因而攻击者可利用hex编码绕过检测设备。
更新功夫：	20220705

事务名称：	TCP_僵尸网络_BlackMoon_衔接
安全类型：	其他事务
事务描述:	检测到BlackMoon远控试图衔接远程服务器，源IP地点的主机可能被植入了僵尸网络BlackMoon。BlackMoon重要职能是对指定指标提议DDoS攻击，通过关联分析发现，该BlackMoon僵尸网络传布方式之一是借助独狼（Rovnix）僵尸网络进行传布。独狼僵尸网络通过带毒激活工具（狂风激活、幼马激活、KMS等）进行传布，常被用来推广病毒和地痞软件。
更新功夫：	20220705

上一篇下一篇

7*24幼时服务热线

400-624-3900

04152424g9z1

官方微信

12145445s033

官方微博

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】