Zero
Plus de 45 000 sites web Chinois ont été sous un déluge d’attaques de malfaiteurs qui cherchent à accéder à des serveurs web, ZDNet a appris.
Les attaques ont visé des sites web construits avec ThinkPHP, de fabrication Chinoise, framework PHP qui est très populaire parmi le local de développement web de la scène.
Toutes les attaques ont commencé après le Chinois cyber-sécurité de l’entreprise VulnSpy posté une preuve de concept à exploiter pour les ThinkPHP sur ExploitDB, un site populaire pour l’hébergement gratuit de code d’exploitation.
La preuve-de-concept de code exploite une vulnérabilité dans le cadre du invokeFunction méthode à exécuter du code malveillant sur le serveur sous-jacent. La vulnérabilité est exploitable à distance, comme la plupart des vulnérabilités dans les applications web ont tendance à être, et peut permettre à un attaquant de prendre le contrôle sur le serveur.
Les attaques ont commencé à l’intérieur d’un jour
“Le PoC a été publié le 11 décembre, et nous avons vu à l’échelle de l’internet des scans de moins de 24 heures plus tard,” Troy Mursch, co-fondateur de Paquets défectueux LLC a dit ZDNet aujourd’hui.
Quatre autres entreprises de sécurité –F5 Labs, GreyNoise, NewSky de Sécurité, et Trend Micro– ont également signalé des analyses similaires, qui ont gagné en intensité dans les jours suivants.
Le nombre de menace organisée groupes de l’exploitation de la nouvelle ThinkPHP vulnérabilité a également augmenté. Il y a maintenant l’origine des attaquants, un autre groupe que les experts en sécurité nommé “D3c3mb3r”, et un groupe qui à l’aide de la ThinkPHP vulnérabilité à infecter les serveurs avec le Miori l’Ido logiciels malveillants.
Ce dernier groupe, détecté par Trend Micro, suggère également que le ThinkPHP cadre pourrait avoir été utilisé pour construire les panneaux de contrôle de certains routeurs à la maison et de Tes appareils, comme Miori ne serait pas en mesure de fonctionner correctement réel sur des serveurs Linux.
En outre, NewSky de Sécurité a également détecté un quatrième groupe de numérisation pour ThinkPHP sites et de tenter d’exécuter des commandes Powershell de Microsoft.
“Le Powershell est bizarre,” Ankit Anubhav, Principal Chercheur en Sécurité pour NewSky de la Sécurité a indiqué ZDNet. “En fait, ils ont un peu de code qui vérifie type de système d’exploitation et exécute les différentes possibilité de code d’exploitation pour Linux, mais ils ont aussi fonctionner Powershell juste pour tenter leur chance.”
Mais le plus grand de tous les groupes d’exploiter cette ThinkPHP vulnérabilité est le groupe qu’ils appellent D3c3mb3r. Ce groupe n’est pas particulièrement porté sur ThinkPHP sites seulement. Ce groupe de scans pour tout PHP.
“Ils sont très forts sur PHP” Anubhav nous l’a dit. “La plupart du temps à la recherche pour les serveurs web et pas de Tes appareils.”
Mais ce groupe, pour l’instant, elle ne fait rien de spécial. Ils n’infectent pas les serveurs avec cryptocurrency mineurs, ou tout logiciel malveillant. Ils ont simplement numériser pour les hôtes vulnérables, exécutez une base “echo bonjour d3c3mb3r de la commande”, et c’est tout.
“Je ne suis pas sûr de leur motivation,” Anubhav dit.
Plus de 45 000 hôtes vulnérables
Selon un Shodan de recherche, il y a actuellement plus de 45,800 serveurs exécutant une ThinkPHP à base de web app qui sont accessibles en ligne. Plus de 40 000 de ces hébergés sur Chinois des adresses IP, ce qui est logique, puisque la ThinkPHP de la documentation est disponible uniquement en Chinois, et plus susceptibles de ne pas utilisé à l’extérieur du pays.
Cela explique aussi pourquoi la plupart des attaquants à la recherche pour ThinkPHP sites sont également pour la plupart des Chinois.
“Jusqu’à présent, les seuls hôtes que nous avons vu de numérisation pour ThinkPHP installations sont venus de Chine ou de la Russie,” Mursch dit ZDNet après consultation de données en ce qui concerne l’origine de la plupart de ces analyses.
Mais vous n’avez pas besoin d’être Chinois pour exploiter une vulnérabilité dans le logiciel Chinois. Comme de plus en plus de la menace des groupes apprendrez au sujet de ce nouveau moyen facile de pirater les serveurs web, les attaques sur des sites Chinois va s’intensifier.
F5 Labs a également publié une analyse technique de la ThinkPHP de la vulnérabilité et de la façon dont le code de l’exploit fonctionne, ici.
Plus de la cybersécurité de la couverture:
Microsoft publie la mise à jour de sécurité pour le nouvel IE zéro dayLogitech application d’une faille de sécurité a permis de frappe injection attacksSQLite bug affecte des milliers d’applications, y compris tous les Chrome à base de browsersNew attaque intercepte les frappes de touches via graphique librariesResearcher publie PoC pour les nouvelles Fenêtres zéro dayWatch chercheurs à distance de la brique un serveur en corrompant ses BMC et UEFI firmwareRSA de la Conférence: Cette fois-ci avec plus de femmes CNETWindows 10 utilisateurs doivent attendre pour installer la dernière mise à jour de TechRepublic
Rubriques Connexes:
Open Source
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0