Kineske web stranice napadnute su već tjedan dana putem nove greške PHP okvira

  • Sep 02, 2023

PoC za ThinkPHP sigurnosni propust izaziva žestoka skeniranja ranjivih stranica, od kojih se većina nalazi u Kini.

thinkphp.png

Preko 45.000 kineskih web stranica bilo je pod baražnom merom napada zlobnika koji su željeli doći do web poslužitelja, ZDNet je naučio.

Sigurnost

  • 8 navika iznimno sigurnih radnika na daljinu
  • Kako pronaći i ukloniti špijunski softver s telefona
  • Najbolje VPN usluge: Kako se uspoređuju prvih 5?
  • Kako saznati jeste li uključeni u povredu podataka -- i što učiniti sljedeće

Napadi su ciljali web-mjesta izrađena pomoću ThinkPHP, kineski PHP okvir koji je vrlo popularan među lokalnom scenom za web razvoj.

Svi napadi započeli su nakon što je kineska tvrtka za kibernetičku sigurnost VulnSpy objavila proof-of-concept exploit za ThinkPHP na ExploitDB, web mjestu popularnom za hosting besplatnog koda za iskorištavanje.

Kod za dokaz koncepta iskorištava ranjivost u metodi invokeFunction okvira za izvršavanje zlonamjernog koda na temeljnom poslužitelju. Ranjivost se može iskoristiti na daljinu, kao što je to slučaj s većinom ranjivosti u web aplikacijama, i može omogućiti napadaču da preuzme kontrolu nad poslužiteljem.

Napadi su počeli unutar jednog dana

"PoC je objavljen 11. prosinca, a vidjeli smo skeniranja cijelog interneta manje od 24 sata kasnije," Troy Mursch, rekao je suosnivač tvrtke Bad Packets LLC ZDNet danas.

Četiri druge zaštitarske tvrtke --F5 laboratoriji, GreyNoise, NewSky Sigurnost, i Trend Micro-- također su izvijestili o sličnim skeniranjima, čiji je intenzitet porastao sljedećih dana.

Također je porastao i broj organiziranih skupina prijetnji koje iskorištavaju novu ThinkPHP ranjivost. Tu su sada izvorni napadači, druga grupa koju su sigurnosni stručnjaci nazvali "D3c3mb3r" i grupa koja koristi ThinkPHP ranjivost da zarazi poslužitelje Miori IoT zlonamjernim softverom.

Ova zadnja skupina, koju je otkrio Trend Micro, također sugerira da je ThinkPHP okvir možda korišten za izgradnju upravljačke ploče nekih kućnih usmjerivača i IoT uređaja, jer Miori ne bi mogao pravilno funkcionirati na stvarnom Linuxu poslužitelji.

Nadalje, NewSky Security je otkrio i četvrtu grupu koja skenira stranice temeljene na ThinkPHP-u i pokušava pokrenuti Microsoft Powershell naredbe.

"Powershell je bizaran," Ankit Anubhav, rekao je glavni istraživač sigurnosti za NewSky Security ZDNet. "Oni zapravo imaju neki kod koji provjerava vrstu OS-a i pokreće drugačiji exploit kod za Linux, ali također pokreću Powershell samo da okušaju sreću."

Ali najveća od svih skupina koje iskorištavaju ovu ThinkPHP ranjivost je skupina koju nazivaju D3c3mb3r. Ova grupa nije posebno fokusirana samo na ThinkPHP stranice. Ova grupa skenira sve PHP.

"Jako su glasni na PHP-u", rekao nam je Anubhav. "Uglavnom tražim web poslužitelje, a ne IoT uređaje."

Ali ova grupa, za sada, ne radi ništa posebno. Oni ne zaraze poslužitelje rudarima kriptovaluta ili bilo kojim zlonamjernim softverom. Jednostavno traže ranjive hostove, pokreću osnovnu naredbu "echo hello d3c3mb3r" i to je to.

"Nisam siguran u njihov motiv", rekao je Anubhav.

Preko 45.000 ranjivih hostova

Prema a Shodan pretraga, trenutno postoji više od 45.800 poslužitelja koji pokreću web-aplikaciju temeljenu na ThinkPHP-u koji su dostupni na mreži. Više od 40.000 njih hostirano je na kineskim IP adresama, što ima smisla budući da je ThinkPHP-ova dokumentacija dostupna samo na kineskom i najvjerojatnije se ne koristi izvan zemlje.

Ovo također objašnjava zašto su većina napadača koji traže ThinkPHP stranice uglavnom Kinezi.

"Do sada su jedini hostovi koje smo vidjeli kako skeniraju ThinkPHP instalacije došli iz Kine ili Rusije", rekao je Mursch ZDNet nakon pregleda podataka u vezi s podrijetlom većine ovih skeniranja.

Ali ne morate biti Kinez da biste iskoristili ranjivost u kineskom softveru. Kako sve više skupina prijetnji bude saznavalo o ovom novom jednostavnom načinu hakiranja web poslužitelja, napadi na kineske stranice će se intenzivirati.

F5 Labs je također objavio tehničku analizu ThinkPHP ranjivosti i kako funkcionira kod za iskorištavanje, ovdje.

Kibernetički kriminal i zlonamjerni softver, predviđanja za 2019

Više pokrivenosti kibernetičkom sigurnošću:

  • Microsoft izdaje sigurnosno ažuriranje za novi IE zero-day
  • Sigurnosna greška u aplikaciji Logitech dopuštala je napade ubrizgavanjem tipki
  • SQLite bug utječe na tisuće aplikacija, uključujući sve preglednike temeljene na Chromiumu
  • Novi napad presreće pritiske tipki putem grafičkih biblioteka
  • Istraživač objavljuje PoC za novi Windows zero-day
  • Gledajte kako istraživači daljinski blokiraju poslužitelj oštećujući njegov BMC i UEFI firmware
  • RSA konferencija: Ovaj put s više žena CNET
  • Korisnici sustava Windows 10 trebali bi pričekati da instaliraju najnovije ažuriranje TechRepublic