近日安全小结(7.25-7.28)
2022-7-30 09:30:58 Author: 猪猪谈安全(查看原文) 阅读量:222 收藏

排版:红队蓝军
通达OA 后台 SQL 注入漏洞
通达OA 后台文件上传漏洞
通达OAV11.5存在SQL注入漏洞
通达OA2017版本存在任意用户登录漏洞
蓝凌OA RCE在野0day
蓝凌OA远程代码执行漏洞
泛微OA 前台文件上传漏洞
泛微OA eoffice10 前台任意文件上传漏洞
泛微OA _E-office_UserSelect/index.php_未授权_SQL漏洞
快普OA OA sql注入漏洞
泛微OA E-office init.php文件读取漏洞
蓝凌OA session泄露及任意文件上传漏洞
华天动力OA 前台任意文件上传漏洞
红帆医疗云OA医用版 前台SQL注入漏洞
万户OA getshell
万户OA officeserverservlet 文件上传
用友NC _accept.jsp_未授权_文件上传
用友NC grouptemplet接口存在任意文件上传漏洞
用友NC U8-OA企业版存在SQL注入漏洞
禅道OA 存在SQL注入漏洞
H3C IMC dynamiccontent.properties.xhtm 远程命令执行
H3C-SecPath-运维审计系统(堡垒机)后台绕过登录
H3C多系列设备远程命令执行漏洞
安*web应用防火墙远程命令执行漏洞
安*明御WAF登录绕过漏洞
安*明御WAF远程命令执行漏洞
安*数据大脑API网关任意密码重置漏洞
奇安*天擎版本<6.7.0.4910安全漏洞
奇安*天眼产品存在安全漏洞
奇安*网康科技互联网控制网关前台命令执行漏洞
泛微云桥e-Bridge存在SQL注入漏洞
明御Web应用防火墙存在任意登录漏洞
SANGFORVPN存在远程缓冲区溢出漏洞
明御Web应用防火墙存在远程命令执行漏洞 
NF防火墙存在远程命令执行漏洞
LEAGSOFT软件定义边界系统命令执行漏
LEAGSOFT网络准入控制系统反序列化漏洞
H3C SecParh堡垒机任意用户登录漏洞
Apache Commons远程 代码执行漏洞
GitLab远程代码执行漏洞
FastJson代码执行漏洞
拓尔思was5 getshell
jboss EAP /AS 6.远程代码执行
thinkphp远程代码执行漏洞
thinkphp任意文件读取
Laravel存在命令执行漏洞
某部级客户疑似攻击者IP&心跳IP
天融信_上网行为管理系统_static_convert.php_未授权_命令执行
H3C CAS 远程代码执行漏洞
ThinkPHP任意文件读取漏洞
中远麒麟堡垒机存在前台SQL注入漏洞
安恒数据大脑API网关任意密码重置漏洞 
网神SecGate 3600 防火墙存在RCE漏洞

HW第4天,攻击手段依然以钓鱼攻击、内网横移、漏洞利用为主要攻击方法,弱口令扫描也开始被利用起来,双后缀的lnk快捷方式(.docx.lnk)结合白利用攻击的样本出现。

目标方面,HR成为最易被攻击群体,被各种伪装简历钓鱼。攻击队常用话术为“我的简历比较大,用压缩包传输”,在接收简历时务必谨慎。同时,利用求职心理,攻击队还会伪装成大厂HR、猎头,联系目标企业内部人员,实施定向攻击。

攻击发现

HW第4天,攻击队的攻击行为呈如下特征:

攻击手法:钓鱼文件(特殊关键词:简历、通知、材料、安全巡检)、签名伪装、java漏洞、Web服务漏洞、爆破攻击、文件双扩展名(.docx.exe)、文件名中使用unicode不可见字符串伪装、无文件攻击、内网横移、OA漏洞、持久化、powershell攻击

攻击来源:远程渗透、微信传输、邮箱附件、邮箱链接

诱导文件关键字:

防暑降温费发放标准docx.exe
员工自查自检工具.exe
个人资料原件.pdf.exe
README.txt.scr
个人简历.exe
公积金缴纳问题人员名单0727.exe
上访投诉材料.exe
考勤模版.docx*.exe
同花顺详细购买记录dddddd.exe
翻译作品集.exe
2022年第三季度招聘信息
举报.rar
快递人员辱骂客户聊天截图 _pdf  .exe
食堂20228月周营养膳食安排表-.exe
账号申请表申请表.exe
**大学-**美
**身份证正反面.exe

态势预警

  1. lnk快捷方式钓鱼攻击+白利用

攻防对抗已经进入白热化阶段,各种别具一格免杀的样本层出不穷,甚至出现了钓鱼样本使用双后缀(.docx.lnk)、文档图标进行伪装的lnk样本。lnk文件中指向一个可执行文件,该wsc_proxy.exe是一个正规厂商且带签名的文件,当该文件被执行时会加载当前目录下名为wsc.dll木马模块。

  1. 聊天工具钓鱼攻击依然主流

HW火热进行中,白天针对目标人员的钓鱼依然持续不断,从通用的钓鱼文件命名“通知”“简历”“考勤”“薪资”,再到更具靶向性的“申请表”“上访”“举报”“作品集”等,攻击队正在进行更深入的持续渗透中。

  1. 向日葵漏洞频频被使用

早在HW第1天,有攻击队使用向日葵漏洞(CNVD-2022-10270)发起攻击。情报显示,近日连续有攻击队使用该漏洞进行渗透攻击。

  1. 夜场针对目标站点持续渗透

除钓鱼攻击外,针对目标服务器站点的攻击也在进行中,攻击队利用站点系统漏洞、数据库服务器口令爆破等方式,在主机上抓取用户口令,拿信息后再继续渗透到其他机器。

 点击下方小卡片或扫描下方二维码观看更多技术文章

师傅们点赞、转发、在看就是最大的支持


文章来源: http://mp.weixin.qq.com/s?__biz=MzIyMDAwMjkzNg==&mid=2247502797&idx=1&sn=997ce20fe123c4cb1bd12bd9e005e028&chksm=97d024daa0a7adccf0cbc9d4a9da296b3f890b9ab6cb9334865b2334aa12038c0e065000dfd6#rd
如有侵权请联系:admin#unsafe.sh