Экспертиза MaxPatrol SIEM

postfix: PT-CR-2715: Postfix_Shellshock_On_Patched_Version: Возможная эксплуатация уязвимости CVE-2014-6271 (Shellshock) в версиях Postfix, где эта уязвимость устранена pt_nad: PT-CR-730: NAD_CVE_On_Vulnerable_Host: PT NAD обнаружил попытку эксплуатации уязвимости network_devices_abnormal_activity: PT-CR-475: Smart_Install_Usage: Возможная эксплуатация уязвимостей в Cisco Smart Install process_chains_and_logons: PT-CR-953: Suspicious_Webserver_Process_Chain: Подозрительная цепочка запуска процессов для утилит веб-сервера unix_mitre_attck_initial_access: PT-CR-288: Unix_Suspicious_Activity_By_Web_User: Выполнены подозрительные команды от имени веб-службы: команды локальной разведки, команды, относящиеся к инструментам анализа защищенности, или другие команды, текущая рабочая директория которых соответствует каталогу веб-сервера vulnerabilities: PT-CR-2065: CVE_2023_46604_ActiveMQ_RCE: Возможная эксплуатация уязвимости CVE-2023-46604 в сервисе Apache ActiveMQ для удаленного выполнения кода vulnerabilities: PT-CR-2486: Sharepoint_Remote_Code_Execution: Эксплуатация уязвимости CVE-2024-38023, CVE-2024-38024 или CVE-2024-38094 в Microsoft SharePoint Server. Такие уязвимости позволяют пользователю с правами владельца сайта после прохождения аутентификации загрузить вредоносный файл на целевой сервер SharePoint и выполнить API-запросы для запуска десериализации параметров файла. Это необходимо злоумышленнику для удаленного выполнения произвольного кода vulnerabilities: PT-CR-2836: CVE_2024_9474_PaloAlto_Command_Injection: Эксплуатация уязвимости CVE-2024-9474, позволяющей пользователям, аутентифицированным в Palo Alto Networks PAN-OS, выполнять команды от имени пользователя root. Уязвимость часто эксплуатируется вместе с CVE-2024-0012, позволяющей обойти аутентификацию в Palo Alto Networks vulnerabilities: PT-CR-2776: CVE_2024_49040_Exchange_Sender_Address_Spoffing: Несоответствие SMTP-заголовков "From" и "Return-Path" в событиях транспортной системы MS Exchange Server. Это может быть признаком эксплуатации уязвимости CVE-2024-49040 (повышение доверия пользователя к фишинговому сообщению путем замены отображаемого адреса отправителя на легитимный) vulnerabilities: PT-CR-1994: CVE_2023_22515_Confluence: Эксплуатация уязвимости CVE-2023-22515 в Confluence, которая позволяет создавать учетные записи с правами администратора без аутентификации на сервере vulnerabilities: PT-CR-2433: CVE_2024_21683_Confluence_RCE: Эксплуатация уязвимости CVE-2024-21683 в Confluence. Уязвимость позволяет пользователю, прошедшему проверку подлинности, загрузить и выполнить произвольный вредоносный код через функцию "Добавить новый язык" в разделе настройки макроса "Code" vulnerabilities: PT-CR-2281: CVE_2024_23897_Jenkins_Arbitrary_File_Read: Эксплуатация уязвимости CVE-2024-23897 в Jenkins. Злоумышленник может получить содержимое произвольного файла через интерфейс командной строки Jenkins посредством добавления символа @ к пути файла vulnerabilities: PT-CR-2064: Subrule_ActiveMQ_Connect: Подключение к сервису Apache ActiveMQ vulnerabilities: PT-CR-2943: CVE_2025_24813_Tomcat_RCE: Попытка эксплуатации уязвимости CVE-2025-24813 в Apache Tomcat, позволяющей удаленно выполнять произвольный код. Злоумышленники загружают сериализованный файл сессии методом PUT на сервер, а затем с помощью запроса GET с именем этого файла в параметре JSESSIONID запускают процесс десериализации и исполнения полезной нагрузки vulnerabilities: PT-CR-2405: CVE_2024_24919_CheckPoint_Information_Disclosure: Эксплуатация уязвимости CVE-2024-24919, которая позволяет злоумышленникам читать любые файлы на устройствах межсетевого экранирования Check Point без авторизации. Уязвимость содержится в продуктах Check Point с включенными программными блейдами IPSec VPN, Remote Access VPN и Mobile Access vulnerabilities: PT-CR-2091: CVE_2022_26134_Confluence_RCE: Эксплуатация уязвимости CVE-2022-26134 в Confluence. Это позволит злоумышленникам внедрить OGNL-код, чтобы затем, действуя удаленно, выполнить произвольный код без проверки подлинности на сервере vulnerabilities: PT-CR-1983: Possible_CVE_2023_20198_Cisco_IOS_XE: Возможная эксплуатация уязвимости CVE-2023-20198 в Cisco IOS XE, связанная с повышением привилегий путем создания новой учетной записи администратора vulnerabilities: PT-CR-2942: Subrule_CVE_2025_24813_Tomcat_RCE: Эксплуатация уязвимости CVE-2025-24813 в Apache Tomcat, позволяющей удаленно выполнять произвольный код. Злоумышленники загружают сериализованный файл сессии методом PUT на сервер, а затем с помощью запроса GET с именем этого файла в параметре JSESSIONID запускают процесс десериализации и исполнения полезной нагрузки vulnerabilities: PT-CR-2431: Subrule_CVE_2024_21683_Confluence_RCE: Успешный POST-запрос к функции Confluence "Добавить новый язык" в разделе настройки макроса "Code" от пользователя, прошедшего проверку подлинности. Это может свидетельствовать об эксплуатации уязвимости CVE-2024-21683, позволяющей выполнить произвольный код на узле с сервером Confluence vulnerabilities: PT-CR-2455: CVE_2024_4577_PHP_CGI_RCE: Эксплуатация уязвимости CVE-2024-4577 в PHP для Windows, где PHP используется в режиме CGI. Уязвимость позволяет неавторизованному злоумышленнику удаленно выполнить произвольный код на веб-сервере. На момент разработки данного правила воспроизвести атаку можно только в операционных системах Windows, в которых установлен китайский (как упрощенный, так и традиционный) или японский язык. Уязвимость заключается в некорректной обработке юникода, а именно символа 0xAD (мягкий перенос), который интерпретируется обработчиком CGI как обычный дефис. Это позволяет злоумышленникам указывать для PHP дополнительные аргументы командной строки, начинающиеся с дефиса vulnerabilities: PT-CR-1917: CMS_1C_Bitrix_Race_Landing_Exploit: Возможная эксплуатация уязвимости модуля landing системы управления содержимым сайтов (CMS) 1С-Битрикс: Управление сайтом vulnerabilities: PT-CR-2873: CVE_2024_47575_FortiJump_FortiManager_RCE: Незарегистрированное устройство добавлено в систему централизованного управления FortiManager. Это может быть признаком эксплуатации уязвимости CVE-2024-47575 для удаленного выполнения произвольного кода на сервере FortiManager. Злоумышленник использует специальные запросы, чтобы выполнить код без аутентификации от имени системы по протоколу FGFM vulnerabilities: PT-CR-2293: CVE_2024_27198_TeamCity_Authentication_Bypass: Эксплуатация уязвимости CVE-2024-27198 в TeamCity. Уязвимость позволяет злоумышленнику обойти процесс аутентификации, чтобы создать нового пользователя TeamCity с правами администратора или токен доступа для пользователя. Это может быть использовано для удаленного выполнения команд vulnerabilities: PT-CR-2247: CVE_2023_27350_PaperCut_Authentication_Bypass: Подозрительная цепочка запуска процессов для приложения PaperCut NG/MF. Это может указывать на эксплуатацию уязвимости CVE-2023-27350 и выполнение вредоносного кода с использованием встроенной функциональности PaperCut NG/MF: сценариев печати и интеграции со сторонними инструментами для авторизации network_devices_compromise: PT-CR-575: Smart_Install_Exploitation_Tool_Usage: Обнаружено использование эксплойта Smart Install Exploitation Tool network_devices_compromise: PT-CR-571: Cisco_IOS_Change_Config_By_SNMP: На устройстве конфигурационный файл изменен с недоверенного узла network_devices_compromise: PT-CR-576: CheckPoint_SmartConsole_Connection: Обнаружено подключение с помощью утилиты CheckPoint SmartConsole с недоверенного узла mitre_attck_execution: PT-CR-649: Suspicious_Child_From_Webserver_Process: Пользователь запустил процесс от родительского процесса веб-сервера mitre_attck_execution: PT-CR-645: Recon_Via_Webserver_Process: Пользователь запустил процесс от родительского процесса microsoft_exchange: PT-CR-1476: Exchange_ProxyNotShell: Эксплуатация уязвимости ProxyNotShell из пакета Metasploit pt_application_firewall: PT-CR-1896: PTAF_Path_Traversal_Detected: Приложение PT AF обнаружило попытку атаки Path Traversal pt_application_firewall: PT-CR-1882: PTAF_XSS_Attack_Detected: Приложение PT AF обнаружило попытку атаки XSS (межсайтовый скриптинг) pt_application_firewall: PT-CR-639: PTAF_Alert_Detected: Сработало правило PT AF pt_application_firewall: PT-CR-1897: PTAF_LFI_Detected: Приложение PT AF обнаружило попытку эксплуатации уязвимости LFI (Local File Inclusion) pt_application_firewall: PT-CR-637: PTAF_Reflected_File_Download_Detected: Приложение PT AF обнаружило атаку с отраженной загрузкой файла (RFD) pt_application_firewall: PT-CR-1907: PTAF_CVE_Detected: Приложение PT AF обнаружило попытку эксплуатации уязвимости pt_application_firewall: PT-CR-1884: PTAF_SQL_Injection_Detected: Приложение PT AF обнаружило попытку атаки типа "Внедрение SQL-кода"