OG东方厅

首页 > 技术支持 > 升级布告 > 每周升级布告

每周升级布告-2023-04-25

颁布功夫 2023-04-25

新增事务

事务名称：：	HTTP_反序列化_Spring_Boot_Actuator_Snakeyaml_远程代码执行
安全类型：：	安全缝隙
事务描述：：	检测到源ip正在利用Actuator的/env接口设置属性将spring.cloud.bootstrap.location设置为恶意yaml文件URL地址。。 SpringBootActuator是一款能够援手你监控系统数据的框架,其能够监控好多好多的系统数据,它有对利用系统的自省和监控的集成功能，，，能够查看利用配置的具体信息。。通过设置SpringBootActuator的spring.cloud.bootstrap.location属性，，，可导致触发sankeyaml反序列化缝隙，，，从而造成恶意代码执行。。
更新功夫：：	20230425

事务名称：：	HTTP_缝隙利用_Spring_Boot_logging.config_logback_代码执行
安全类型：：	安全缝隙
事务描述：：	检测到源ip正在利用Actuator的/env接口设置属性将logging.config设置为恶意xml文件地址。。 SpringBootActuator是一款能够援手你监控系统数据的框架,其能够监控好多好多的系统数据,它有对利用系统的自省和监控的集成功能，，，能够查看利用配置的具体信息。。在SpringBootActuator中能够通过logging.config属性设置logback日志配置文件URL地址，，，若是url地址为xml体式文件，，，能够通过解析xml文件利用logback依赖的insertFormJNDI标签造成JNDI注入。。
更新功夫：：	20230425

事务名称：：	HTTP_缝隙利用_文件蕴含_spring-boot-actuator-logview[CVE-2021-21234][CNNVD-202101-261]
安全类型：：	安全缝隙
事务描述：：	检测到源IP主机正在利用spring-boot-actuator-logview文件蕴含缝隙攻击主张IP主机的行为。。spring-boot-actuator-logview是一个单一的日志文件查看器作为SpringBoot执行器端点，，，在0.2.12及之前版本中存在着文件蕴含缝隙，，，编号CVE-2021-21234。。缝隙性质是SpringBoot执行器通过要求的参数来指定文件名和文件夹蹊径，，，经过组合拼接达到目录遍历，，，固然源码中查抄了文件名（filename）参数来预防目录遍历，，，但是没有查抄文件夹（base）参数，，，造成了攻击者能够进行目录遍历。。
更新功夫：：	20230425

事务名称：：	DNS_木马后门_AgentTesla_C2域名解析要求
安全类型：：	木马后门
事务描述：：	检测到试图要求解析AgentTesla的C2域名。。源IP地点的主机可能被植入了AgentTesla Keylogger。。 AgentTesla Keylogger是一个职能壮大的窃密木马，，，2014年，，，初次呈此刻一个土耳其语网站上。。如今，，，Agent Tesla 历经屡次代码改进，，，职能不休加强，，，已经成为可能盗取浏览器、、FTP、、VPN、、邮箱和 WIFI 等多种敏感信息的专业窃密软件。。
更新功夫：：	20230425

事务名称：：	HTTP_提权攻击_CommonsConfiguration_SnakeYAML反序列化利用链_代码执行
安全类型：：	安全缝隙
事务描述：：	检测到源IP主机正在利用主张主机snakeyaml CommonsConfiguration jndi注入缝隙。。 SnakeYaml是Java用于解析Yaml（YetAnotherMarkupLanguage）体式数据的类库，，，它提供了dump步骤能够将一个Java对象转为Yaml体式字符串。。通过机关恶意yaml体式数据，，，能够造成jndi注入，，，从而节礼服务器。。
更新功夫：：	20230425

事务名称：：	DNS_号令节制_木马后门_Sality习染型病毒_域名解析要求
安全类型：：	木马后门
事务描述：：	检测到源主机正在尝试解析 Sality习染型病毒的恶意域名，，，源主机可能已经被植入 Sality习染型病毒。。Sality 可能在Windows操作系统的推算机上进行自我复制和传布，，，同时还可能进行远程节制和信息窃取。。Sality病毒的传布方式极度矫捷，，，能够通过各类方式进行传布，，，例如利用可移动设备、、通过文件共享软件、、电子邮件等方式。。
更新功夫：：	20230425

事务名称：：	HTTP_号令与节制_远控后门_FiveSys_衔接C2服务器
安全类型：：	木马后门
事务描述：：	检测到FiveSys木马后门试图衔接远程服务器。。FiveSys木马重要职能是将使用者流量导引到特定恶意代理服务器；；；FiveSys主张是在用户衔接线上游戏时，，，将用户流量导向代理服务器时，，，借此拦截、、窃取用户帐密等验证信息。。
更新功夫：：	20230425

事务名称：：	HTTP_缝隙利用_文件下载_RuoYi后盾治理系统[CVE-2023-27025][CNNVD-202304-021]
安全类型：：	安全缝隙
事务描述：：	Ruoyi在v4.7.6及以下版本中存在肆意文件下载缝隙，，，经过身份认证的攻击者能够利用按时工作下载肆意文件。。若是系统未对读取/下载文件的文件目录做限度，，，攻击者利用此缝隙可直接读取web目录下肆意文件，，，好比配置文件、、数据库文件等，，，甚至直接获取服务器上肆意文件内容。。Ruoyi后盾治理系统是基于SpringBoot的权限治理系统。。
更新功夫：：	20230425

事务名称：：	HTTP_提权攻击_JndiRefForwardingDataSource_SnakeYAML反序列化利用链_代码执行
安全类型：：	安全缝隙
事务描述：：	检测到源IP主机正在利用主张主机snakeyaml JndiRefForwardingDataSource jndi注入缝隙。。 SnakeYaml是Java用于解析Yaml（YetAnotherMarkupLanguage）体式数据的类库，，，它提供了dump步骤能够将一个Java对象转为Yaml体式字符串。。通过机关恶意yaml体式数据，，，能够造成jndi注入，，，从而节礼服务器。。
更新功夫：：	20230425

事务名称：：	HTTP_缝隙利用_Spring_Boot_spring.main.sources_groovy_代码执行
安全类型：：	安全缝隙
事务描述：：	检测到源ip正在利用Actuator的/env接口设置属性将spring.main.sources设置为恶意groovy文件地址。。 SpringBootActuator是一款能够援手你监控系统数据的框架,其能够监控好多好多的系统数据,它有对利用系统的自省和监控的集成功能，，，能够查看利用配置的具体信息。。在SpringBootActuator中能够通过spring.main.sources属性来设置创建ApplicationContext的额外源的URL地址，，，若是最后地址以groovy结尾,则最终会执行文件内容中的groovy代码，，，造成代码执行。。
更新功夫：：	20230425

事务名称：：	HTTP_安全缝隙_Spring_Boot_Actuator_datasource_远程代码执行
安全类型：：	安全缝隙
事务描述：：	检测到源ip正在利用Actuator的/env接口设置属性将spring.datasource.data属性设置为恶意sql文件的URL地址。。 SpringBootActuator是一款能够援手你监控系统数据的框架,其能够监控好多好多的系统数据,它有对利用系统的自省和监控的集成功能，，，能够查看利用配置的具体信息。。通过设置SpringBootActuator的spring.datasource.data属性来设置恶意sql文件的URL地址，，，通过执行h2的sql语句导致肆意代码执行。。
更新功夫：：	20230425

事务名称：：	HTTP_反序列化_SnakeYaml_MarshalOutputStream_肆意文件写入
安全类型：：	安全缝隙
事务描述：：	检测到源IP主机正在利用主张主机snakeyaml MarshalOutputStream 文件写入缝隙。。 SnakeYaml是Java用于解析Yaml（YetAnotherMarkupLanguage）体式数据的类库，，，它提供了dump步骤能够将一个Java对象转为Yaml体式字符串,其load步骤也可能将Yaml字符串转为Java对象。。在其使用load步骤将字符串转为MarshalOutputStream对象时，，，会触发肆意文件写入缝隙，，，攻击者可能写入恶意文件。。
更新功夫：：	20230425

事务名称：：	HTTP_安全缝隙_用友NC_uapjs_代码执行
安全类型：：	安全缝隙
事务描述：：	检测到源ip正在利用用友NC6.5中jsinvoke接口存在的肆意步骤挪用缝隙对主张主机进行攻击的行为。。用友NC 及 NCC系统存在肆意步骤挪用缝隙，，，通过uapjs (jsinvoke)利用缝隙可挪用危险步骤造成攻击。。用友NC以“全球化集团管控、、行业化解决规划、、全程化电子商务、、平台化利用集成”的治理业务理念而设计，，，是中国大企业集团治理信息化利用系统的首选。。
更新功夫：：	20230425

事务名称：：	HTTP_缝隙利用_文件下载_灵通OA_video_file.php
安全类型：：	安全缝隙
事务描述：：	利用MEDIA_DIR与MEDIA_NAME参数值覆盖进行蹊径穿越并选取http的响应Content-Disposition头字段实现肆意文件的下载。。
更新功夫：：	20230425

事务名称：：	HTTP_提权攻击_PostgreSQL-JDBC-Driver_远程代码执行[CVE-2022-21724]
安全类型：：	安全缝隙
事务描述：：	PostgreSQL数据库的jdbc驱动法式中存在一个安全缝隙。。当攻击者节制jdbcurl或者属性时，，，使用PostgreSQL数据库的系统将受到攻击。。pgjdbc凭据通过authenticationPluginClassName、、sslhostnameverifier、、socketFactory、、sslfactory、、sslpasswordcallback衔接属性提供类名实例化插件实例。。但是，，，驱动法式在实例化类之前没有验证类是否实现了预期的接口。。这可能导致通过肆意类加载远程代码执行或文件写入攻击。。影响版本：：postgresql_jdbc_driver<42.2.25，，，42.3.0<=postgresql_jdbc_driver<=42.3.1
更新功夫：：	20230425

批改事务

事务名称：：	HTTP_提权攻击_ScriptEngineManager_SnakeYAML反序列化利用链_代码执行
安全类型：：	安全缝隙
事务描述：：	检测到源ip正在利用SnakeYAMLScriptEngineManager反序列化利用链进行攻击，，，从而获取指标系统权限。。SnakeYaml是Java用于解析Yaml（YetAnotherMarkupLanguage）体式数据的类库，，，它提供了dump步骤能够将一个Java对象转为Yaml体式字符串,其load步骤也可能将Yaml字符串转为Java对象。。
更新功夫：：	20230425

事务名称：：	HTTP_缝隙利用_代码执行_Spring_Boot_H2database_console
安全类型：：	安全缝隙
事务描述：：	检测到源ip正在利用h2console的默认路由设置为外部恶意jndi服务器地址。。H2Database是一个开源的嵌入式数据库引擎，，，选取java说话编写，，，不受平台的限度，，，同时H2Database提供了一个极度方便的web节制台用于操作和治理数据库内容。。H2Database还提供兼容模式，，，能够兼容一些主流的数据库，，，因而选取H2Database作为开发期的数据库极度方便。。
更新功夫：：	20230425

事务名称：：	TCP_提权攻击_Groovy1_Java反序列化利用链_代码执行
安全类型：：	安全缝隙
事务描述：：	检测到源IP主机正在利用Groovy1的Java反序列化利用链对主张主机进行攻击的行为。。ApacheGroovy是一个职能壮大的动态编程说话，，，靠着其简洁、、与Java极度类似以及易于学习的语法，，，基于Java平台的Groovy关注于提高开发者的出产性。。它能够和任何Java说话进行无缝集成，，，支持DSL，，，提供运行阶段和编译阶段元数据编程等壮大的职能。。
更新功夫：：	20230425

事务名称：：	HTTP_缝隙利用_文件读取_Grafana_8.3.0[CVE-2021-43798][CNNVD-202112-482]
安全类型：：	安全缝隙
事务描述：：	检测到源ip正在利用Grafana8.0.0-8.3.0版本中存在的文件读取缝隙，，，从而在未授权的情况下读取指标系统敏感文件。。Grafana是一个跨平台、、开源的数据可视化网络利用法式平台。。用户配置衔接的数据源之后，，，Grafana能够在网络浏览器里显示数据图表和忠告
更新功夫：：	20230425

事务名称：：	HTTP_缝隙利用_代码执行_Spring_Boot_logging.config
安全类型：：	安全缝隙
事务描述：：	检测到源ip正在利用Actuator的/evn接口通过logging.config参数尝试远程代码执行。。SpringBootActuator是一款能够援手你监控系统数据的框架,其能够监控好多好多的系统数据,它有对利用系统的自省和监控的集成功能，，，能够查看利用配置的具体信息。。
更新功夫：：	20230425

上一篇下一篇

7*24小时服务热线

400-624-3900

04152424g9z1

官方微信

12145445s033

官方微博

司法申明

Copyright ? OG东方厅版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】