Nul
Over 45.000 Kinesiske hjemmesider har været udsat for en byge af angreb fra forbrydere, der ønsker at få adgang til web-servere, ZDNet har lært.
Angrebene er målrettet websteder bygget med ThinkPHP, en Kinesisk-made PHP ramme, der er meget populær blandt de lokale web-udvikling scene.
Alle angreb i gang efter Kinesisk cyber-sikkerhed firma VulnSpy sendt et proof-of-concept exploit til ThinkPHP på ExploitDB, en hjemmeside populært for hosting gratis exploit-kode.
Proof-of-concept kode, der udnytter en sårbarhed i ramme invokeFunction metode til at afvikle ondsindet kode på den underliggende server. Sårbarheden kan udnyttes af en fjernangriber, da de fleste sårbarheder i web-baserede applikationer har en tendens til at være, og kan gøre det muligt for en hacker at få kontrol over serveren.
Angreb i gang inden for en dag
“PoC blev udgivet den December 11, og vi så, internet-dækkende-scanninger mindre end 24 timer senere,” Troy Mursch, medstifter af Dårlig Pakker LLC fortalte ZDNet i dag.
Fire andre vagtselskaber –F5 Labs, GreyNoise, Nevskij Sikkerhed, og at Trend Micro– har også rapporteret om lignende scanninger, som har vokset i intensitet i de følgende dage.
Antallet af organiserede trussel grupper at udnytte de nye ThinkPHP sårbarhed er også vokset så godt. Der er nu den originale angribere, en anden gruppe, der sikkerhedseksperter navnet “D3c3mb3r,” og en gruppe, der bruger den ThinkPHP sårbarhed til at inficere servere med Miori IoT malware.
Denne sidste gruppe, der er opdaget af Trend Micro, tyder også på, at ThinkPHP ramme, der kunne have været brugt til at bygge kontrolpaneler af nogle hjemme-routere og IoT-enheder, som Miori ikke ville være i stand til at fungere ordentligt på faktiske Linux-servere.
Desuden Nevskij Sikkerhed har også opdaget en fjerde gruppe scanning for ThinkPHP-baserede sites, og forsøger at køre Microsoft Powershell-kommandoer.
“Powershell er en bizar sex,” Ankit Anubhav, Principal sikkerhedsekspert for Nevskij Sikkerhed fortalte ZDNet. “De faktisk har en kode, der kontrollerer for OS type og kører forskellige exploit-kode til Linux, men de kører også Powershell-bare for at prøve deres held.”
Men den største af alle grupper at udnytte denne ThinkPHP svaghed er den gruppe, som de kalder D3c3mb3r. Denne gruppe er ikke særligt fokuseret på ThinkPHP sites. Denne gruppe scanninger for alt, hvad PHP.
“De er meget højt på PHP,” Anubhav fortalte os. “For det meste leder for web-servere og ikke tingenes internet-enheder.”
Men denne gruppe, for nu, er ikke at gøre noget særligt. De ikke inficere servere med cryptocurrency minearbejdere eller malware. De har simpelthen scan for sårbare hosts, kør en grundlæggende “echo hej d3c3mb3r” kommando, og det er det.
“Jeg er ikke sikker på, om deres motiv,” Anubhav sagde.
Over 45.000 sårbare hosts
Ifølge en Shodan søgning, der er i øjeblikket over 45,800 servere, der kører en ThinkPHP-baseret web app, der er tilgængelig online. Over 40.000 af disse er placeret på Kinesiske IP-adresser, hvilket giver mening, da ThinkPHP dokumentation er kun tilgængelig på Kinesisk, og højst sandsynligt ikke bruges uden for landet.
Dette forklarer også, hvorfor de fleste af de angribere på udkig efter ThinkPHP steder er også for det meste Kinesisk.
“Indtil videre er den eneste værter, vi har set scanning for ThinkPHP anlæg, der er kommet fra Kina eller Rusland,” Mursch fortalte ZDNet efter høring af data i forhold til oprindelsen af de fleste af disse scanninger.
Men du behøver ikke at være Kinesisk at udnytte en sårbarhed i Kinesisk software. Som flere trussel grupper vil lære om denne nye nem måde at hacke sig ind i web-servere, angreb på Kinesiske sites vil intensivere.
F5 Labs har også udgivet en teknisk analyse af ThinkPHP sårbarhed, og hvordan udnytte koden fungerer, her.
Mere cybersecurity dækning:
Microsoft frigiver sikkerhedsopdatering til nye IE nul-dayLogitech app sikkerhedshul tilladt tastetryk injektion attacksSQLite fejl virkninger tusindvis af apps, herunder alle Chromium-baseret browsersNew angreb opfanger tastetryk via grafik librariesResearcher offentliggør PoC for nye Windows nul-dayWatch forskere, eksternt mursten af en server ved at ødelægge sin BMC og UEFI firmwareRSA Konferencen: Denne gang med flere kvinder CNETWindows 10 brugere bør vente med at installere den seneste opdatering TechRepublic
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre
0