每周升级通告-2023-01-17

宣布时间 2023-01-17
新增事务

 

事务名称:

HTTP_提权攻击_Hashicorp_Consul_Service_API_远程下令执行

清静类型:

清静误差

事务形貌:

检测到源ip主机正在使用Consul中保存的远程下令执行误差举行攻击。Consul是HashiCorp公司推出的一款开源工具 ,用于实现漫衍式系统的服务发明与设置。在启用了剧本检查参数(-enable-script-checks)的Consul所有版本中 ,恶意攻击者可以通过发送全心结构的HTTP请求在未经授权的情形下在Consul服务端远程执行下令。

更新时间:

20230117

 

事务名称:

DNS_僵尸网络_Fodcha_毗连

清静类型:

其他事务

事务形貌:

检测到僵尸网络Fodcha试图向dns服务器请求剖析其C&C服务器。源IP所在的主机可能被植入了Fodcha。Fodcha主要通过NDay误差和Telnet/SSH弱口令撒播 ,包括CVE-2021-22205、CVE-2021-35394、AndroidADBDebugServerRCE、LILINDVRRCE等误差。逐日上线境内肉鸡数以IP数盘算已凌驾1万 ,且逐日会针对凌驾100个攻击目的提倡DDoS攻击 ,攻击很是活跃。Fodcha使用ChaCha20加密和C&C的通讯数据。

更新时间:

20230117

 

修改事务

 

事务名称:

HTTP_其它可疑行为_PHP伪协议

清静类型:

可疑行为

事务形貌:

检测到源ip主机正在使用PHP的一些封装协议 ,如php://input,php://filter等提交一句话木马 ,或远程执行下令来攻击受害者服务器 ,从而获取目的系统权限。

更新时间:

20230117

 

事务名称:

HTTP_清静误差_ToTolink_N600R路由器_Exportovpn_未授权下令注入

清静类型:

清静误差

事务形貌:

检测到源IP主机正试图通过ToTolinkN600R路由器Exportovpn下令注入误差攻击目的IP主机。在ToTolinkN600R路由器的cstecgi.cgi文件中 ,exportovpn接口保存下令注入 ,攻击者可借此未验证远程执行恶意下令。

更新时间:

20230117

 

事务名称:

HTTP_清静误差_若依CMS_远程下令执行误差

清静类型:

清静误差

事务形貌:

若依后台管理系统使用了snakeyaml的jar包 ,snakeyaml是用来剖析yaml的名堂 ,可用于Java工具的序列化、反序列化。由于若依后台妄想使命处 ,关于传入的"挪用目的字符串"没有任何校验 ,导致攻击者可以结构payload远程挪用jar包 ,从而执行恣意下令。

更新时间:

20230117