На Windows сервере установлен KSWS 11.0.1 и Veeam. Во время копирования одной из виртуальных машин на линукс (Fedora) появляется сообщение: Intrusion.Generic.CVE-2017-12611.a.exploit и соединение между сервером Veeam и хостом, на котором установлена ВМ, блокируется. При этом в логах ВМ содержатся записи с попытками эксплуатации данной CVE.
2021:11:31:46 +0800] "POST /?name=%25%7B%28%23dm%3D%40ognl.OgnlContext%40DEFAULT_MEMBER_ACCESS%29.%28%23_ ...
[04/Dec/2021:11:32:13 +0800] "GET /index.action?redirect:${%23a%3d(new%20java.lang.ProcessBuilder(new%20java.lang.String[]{'sh','-c','i ...
Записи еще за 2021 год, но сообщение о вторжении стало появляться только с 23 ноября. Возможно ли, что KSWS реагирует именно на эти записи или есть вероятность, что ВМ заражена? Что делать в таком случае?
