Nul
Meer dan 45.000 Chinese websites zijn onder een spervuur van aanvallen van onverlaten die op zoek om toegang te krijgen tot web servers, ZDNet heeft geleerd.
De aanvallen zijn gericht op websites gebouwd met ThinkPHP, een Chinese-en-klare PHP-framework dat is erg populair onder de lokale ontwikkeling van het web scène.
Alle aanvallen begonnen na de Chinese cyber-security bedrijf VulnSpy geplaatst een proof-of-concept exploit voor ThinkPHP op ExploitDB, een website populair voor hosting gratis exploit code.
De proof-of-concept code maakt misbruik van een beveiligingslek in het kader van de invokeFunction methode om kwaadaardige code wordt uitgevoerd op de onderliggende server. De kwetsbaarheid kan extern worden misbruikt, zoals de meeste kwetsbaarheden in web-based applicaties hebben de neiging om worden, en kan een aanvaller controle krijgen over de server.
De aanvallen begonnen in een dag
“De PoC werd gepubliceerd op December 11, en we zagen op internet een breed minder dan 24 uur later,” Troy Mursch, mede-oprichter van Slechte Pakketten LLC vertelde ZDNet vandaag.
Vier andere beveiligingsbedrijven –F5 Labs, GreyNoise, NewSky Veiligheid, en Trend Micro– hebben ook gemeld soortgelijke scans, die zijn gegroeid in intensiteit in de volgende dagen.
Het aantal georganiseerde bedreiging groepen benutten van de nieuwe ThinkPHP kwetsbaarheid is ook gegroeid. Er zijn nu de oorspronkelijke aanvallers, een andere groep die security-experts met de naam “D3c3mb3r,” en een groep die gebruik maakt van de ThinkPHP kwetsbaarheid te infecteren servers met de Miori IoT malware.
Deze laatste groep, die ontdekt is door Trend Micro, suggereert ook dat de ThinkPHP kader zijn gebruikt voor het bouwen van besturingspanelen van een aantal thuis-routers en-IoT apparaten, zoals Miori zou niet in staat zijn om goed te functioneren op de werkelijke Linux-servers.
Bovendien NewSky Veiligheid heeft ook ontdekt dat een vierde groep scannen voor ThinkPHP-gebaseerde sites en probeert uit te voeren van Microsoft Powershell commando ‘ s.
“De Powershell is bizar,” o / o Anubhav, Principal Security-Onderzoeker voor NewSky Veiligheid vertelde ZDNet. “Ze hebben eigenlijk een stukje code dat de controles voor OS type en loopt verschillende exploit code voor Linux, maar ze lopen ook Powershell gewoon om hun geluk te beproeven.”
Maar de grootste van alle groepen die misbruik maken van deze ThinkPHP kwetsbaarheid is de groep noemen ze D3c3mb3r. Deze groep is niet in het bijzonder gericht op ThinkPHP websites. Deze groep zoekt naar alles wat PHP.
“Ze zijn erg luid op PHP,” Anubhav ons verteld. “Vooral op zoek naar web-servers en niet IoT apparaten.”
Maar deze groep, voor nu, is het niet doen van iets speciaals. Ze hoeven ook niet infecteren servers met cryptocurrency mijnwerkers of malware. Ze gewoon scan voor kwetsbare hosts, een basic “echo hallo d3c3mb3r” commando, en dat is het.
“Ik ben niet zeker over hun motief,” Anubhav zei.
Meer dan 45.000 kwetsbare hosts
Volgens een Shodan zoeken, er zijn momenteel meer dan 45,800 servers met een ThinkPHP-gebaseerde web-app die goed bereikbaar zijn online. Meer dan 40.000 van deze worden gehost op de Chinese IP-adressen, wat logisch is, omdat ThinkPHP de documentatie is alleen beschikbaar in het Chinees, en waarschijnlijk niet gebruikt buiten het land.
Dit verklaart ook waarom de meeste van de aanvallers op zoek naar ThinkPHP sites zijn ook meestal Chinees.
“Tot nu toe de enige hosts die we hebben gezien scannen voor ThinkPHP installaties komen uit China of Rusland,” Mursch vertelde ZDNet na raadpleging van de gegevens met betrekking tot de oorsprong van de meeste van deze scans.
Maar je hoeft niet om Chinees te misbruik maken van een kwetsbaarheid in de Chinese software. Als meer dreiging groepen zal leren over deze nieuwe, eenvoudige manier om te hacken, web servers, aanvallen op Chinese sites zal toenemen.
F5 Labs publiceerde ook een technische analyse van de ThinkPHP kwetsbaarheid en hoe de exploit code werkt hier.
Meer cybersecurity dekking:
De versies van Microsoft beveiligingsupdate voor nieuwe IE nul-dayLogitech app lek toegestaan toetsaanslag injectie attacksSQLite bug effecten duizenden apps, inclusief alle Chroom-gebaseerd browsersNew aanval onderschept toetsaanslagen via grafische librariesResearcher publiceert PoC voor de nieuwe Windows zero-dayWatch onderzoekers op afstand baksteen van een server door de beschadiging van de BMC en de UEFI firmwareRSA Conferentie: Dit keer met meer vrouwen CNETWindows 10 gebruikers moeten wachten tot de meest recente update installeren TechRepublic
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters
0