Noll
Över 45.000 Kinesiska webbplatser har varit under en störtflod av attacker från skojare som vill få tillgång till web-servrar, ZDNet har lärt sig.
Attackerna har riktat webbplatser byggda med ThinkPHP, en Kinesiska PHP ramverk som är mycket populär bland de lokala webbutveckling scenen.
Alla attacker som inleddes efter den Kinesiska it-säkerhetsföretaget VulnSpy publicerat en proof-of-concept utnyttja för ThinkPHP på ExploitDB, en webbplats som är populär för hosting gratis exploit-kod.
Proof-of-concept kod som utnyttjar en sårbarhet i ramen är invokeFunction metod för att köra skadlig kod på den underliggande server. Sårbarheten är fjärrbasis, som de flesta sårbarheter i web-baserade applikationer tenderar att vara, och kan tillåta en angripare att ta kontroll över servern.
Attacker igång inom en dag
“PoC publicerades den 11 December, och vi såg internet-wide scans mindre än 24 timmar senare” Troy Mursch, en av grundarna av Dålig Paket LLC berättade ZDNet idag.
Fyra andra bevakningsföretag –F5 Labs, GreyNoise, NewSky Security och Trend Micro-har också rapporterat liknande sökningar som ökat i intensitet under de följande dagarna.
Antalet organiserade hot grupper som utnyttjar den nya ThinkPHP sårbarhet har också vuxit. Det är nu den ursprungliga angripare, en annan grupp som är experter på säkerhet som heter “D3c3mb3r,” och en grupp som använder den ThinkPHP sårbarhet för att infektera servrar med Miori IoT malware.
Denna sista grupp, upptäcks av Trend Micro, tyder också på att den ThinkPHP ramen kan ha använts för att bygga kontrollpaneler av vissa hem routrar och sakernas internet enheter, som Miori skulle inte kunna fungera på faktiska Linux-servrar.
Dessutom, NewSky Säkerhet har också upptäckt en fjärde grupp scanning för ThinkPHP-baserade webbplatser och försöker köra Microsoft Powershell-kommandon.
“Powershell är bisarra,” Ankit Anubhav, Rektor Säkerhet Forskare för NewSky Säkerhet berättade ZDNet. “De faktiskt har en del kod som kontrollerar för typ av OPERATIVSYSTEM och driver olika utnyttja koden för Linux, men även köra Powershell bara för att försöka sin lycka.”
Men den största av alla grupper utnyttjar detta ThinkPHP sårbarhet är den grupp de kallar D3c3mb3r. Denna grupp är inte särskilt inriktad på ThinkPHP platser bara. Denna grupp söker för allt PHP.
“De är mycket högt på PHP,” Anubhav berättade för oss. “Oftast söker webbservrar och inte IoT-enheter.”
Men den här gruppen, för att nu inte göra något speciellt. Att de inte infektera servrar med cryptocurrency gruvarbetare eller någon skadlig kod. De har helt enkelt skanna för utsatta värdar, köra ett enkelt “echo hej d3c3mb3r” – kommandot, och det är det.
“Jag är inte säker på om deras motiv,” Anubhav sagt.
Över 45.000 utsatta värdar
Enligt en Shodan sök, det finns för närvarande över 45,800 servrar som kör en ThinkPHP-baserade webb-app som kan nås på nätet. Över 40.000 av dessa finns på Kinesiska IP-adresser, vilket är vettigt eftersom ThinkPHP dokumentation är endast tillgänglig på Kinesiska, och mest troligt inte användas utanför landet.
Detta förklarar också varför de flesta av angriparna söker ThinkPHP platser är också mestadels Kinesiska.
“Så långt det bara är värd vi har sett scanning för ThinkPHP anläggningar som har kommit från Kina eller Ryssland,” Mursch berättade ZDNet efter samråd med data när det gäller ursprunget för de flesta undersökningarna.
Men du behöver inte kunna Kinesiska för att utnyttja en sårbarhet i java-program. Mer hot grupper kommer att lära dig om det nya enkla sättet att hacka sig in i web-servrar, attacker på Kinesiska webbplatser kommer att intensifieras.
F5 Labs har också publicerat en teknisk analys av ThinkPHP sårbarhet och hur exploit-kod fungerar, här.
Mer cybersäkerhet täckning:
Microsoft släpper säkerhetsuppdateringar för nya IE noll-dayLogitech app säkerhetsbrist tillåtna tangenttryckning injektion attacksSQLite bugg påverkan tusentals appar, inklusive alla Krom-browsersNew attack fångar tangenttryckningar via grafik librariesResearcher publicerar PoC för nya Windows noll-dayWatch forskare på distans tegel en server genom att korrumpera sin BMC och UEFI firmwareRSA Konferens: den Här gången med fler kvinnor CNETWindows 10 användare bör vänta med att installera den senaste uppdateringen TechRepublic
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0