Zero
Oltre 45.000 siti web Cinesi, sono stati oggetto di una raffica di attacchi da parte di criminali che cercano di guadagnare l’accesso ai server web, ZDNet ha imparato.
Gli attacchi hanno preso di mira i siti web costruiti con ThinkPHP, un Cinese-framework PHP che è molto popolare tra i locali di sviluppo web di scena.
Tutti gli attacchi iniziato dopo il Cinese di cyber-sicurezza ditta VulnSpy inviato un proof-of-concept sfruttare per ThinkPHP su ExploitDB, un sito web popolare per l’hosting gratuito codice di exploit.
Il proof-of-concept codice sfrutta una vulnerabilità nel quadro del invokeFunction metodo per eseguire codice dannoso sul server sottostante. La vulnerabilità può essere sfruttata da remoto, come la maggior parte delle vulnerabilità nel web-based di applicazioni tendono ad essere, e può consentire a un utente malintenzionato di prendere il controllo del server.
Attacchi iniziati entro un giorno
“Il PoC è stato pubblicato su dicembre 11, e abbiamo visto tutta internet scansioni meno di 24 ore più tardi,” Troy Mursch, co-fondatore di Bad Packets LLC detto a ZDNet oggi.
Altre quattro imprese di sicurezza-F5 Labs, GreyNoise, NewSky Security e Trend Micro hanno anche riferito simili scansioni, che sono cresciuti di intensità nei giorni seguenti.
Il numero di organizzato minaccia gruppi di sfruttare le nuove ThinkPHP vulnerabilità è anche cresciuta. Ora ci sono le originali attaccanti, un altro gruppo di esperti di sicurezza denominato “D3c3mb3r,” e con un gruppo che sta utilizzando il ThinkPHP vulnerabilità per infettare i server con il Miori IoT malware.
In questo ultimo gruppo, rilevato da Trend Micro, suggerisce anche che il ThinkPHP quadro potrebbe sono state utilizzate per costruire i pannelli di controllo di alcuni router di casa e IoT dispositivi, come Miori non sarebbe in grado di funzionare correttamente sull’attuale server Linux.
Inoltre, NewSky di Sicurezza ha rilevato anche un quarto gruppo di scansione per ThinkPHP di siti e tentando di eseguire il Microsoft comandi di Powershell.
“La Powershell è bizzarra” Condor Anubhav, Principale Ricercatore di Sicurezza per NewSky Sicurezza detto a ZDNet. “In realtà hanno un po’ di codice che controlla il tipo di sistema operativo e gestisce vari codice exploit per Linux, ma hanno anche eseguito Powershell solo per provare la loro fortuna.”
Ma il più grande di tutti i gruppi che sfruttano questo ThinkPHP vulnerabilità è il gruppo che chiamano D3c3mb3r. Questo gruppo non è particolarmente focalizzata sulla ThinkPHP siti solo. Questo gruppo di scansioni per tutto il PHP.
“Sono molto forte su PHP,” Anubhav ci ha detto. “Per lo più alla ricerca per i server web e non IoT dispositivi.”
Ma questo gruppo, per ora, non fa niente di speciale. Non infettare server con cryptocurrency minatori o qualsiasi malware. Semplicemente la scansione per gli host vulnerabili, eseguire un “echo ciao d3c3mb3r di comando”, e basta.
“Io non sono sicuro circa la loro motivazione,” Anubhav detto.
Oltre 45.000 host vulnerabili
Secondo un Shodan di ricerca, ci sono attualmente oltre 45,800 server che eseguono un ThinkPHP basato su web app che sono accessibili online. Oltre 40.000 sono ospitati in Cinese indirizzi IP, che ha senso dal ThinkPHP documentazione è disponibile solo in Cinese, e la maggior parte probabilmente non utilizzati al di fuori del paese.
Questo spiega anche perché la maggior parte degli aggressori cercando ThinkPHP siti sono per lo più Cinesi.
“Finora l’unico host che abbiamo visto la scansione per ThinkPHP installazioni sono venuti dalla Cina o la Russia,” Mursch detto a ZDNet, dopo la consultazione dei dati in quanto riguarda l’origine della maggior parte di queste scansioni.
Ma non c’è bisogno di essere Cinese sfruttare una vulnerabilità nel software Cinese. Come minaccia più gruppi di conoscere questo nuovo modo semplice per hackerare il server web, attacchi su siti Cinesi si intensificherà.
F5 Labs ha pubblicato anche una tecnica di analisi del ThinkPHP vulnerabilità e come il codice di exploit funziona, qui.
Più sicurezza informatica copertura:
Microsoft rilascia l’aggiornamento della protezione per nuovo IE zero-dayLogitech app falla di sicurezza ha permesso di battitura iniezione attacksSQLite bug impatti migliaia di applicazioni, tra cui tutti Cromo-based browsersNew attacco intercetta le sequenze di tasti per via grafica librariesResearcher pubblica PoC per il nuovo Windows zero-dayWatch ricercatori in remoto di mattoni di un server di corrompere la sua BMC e UEFI firmwareRSA Conferenza: Questa volta con più donne CNETWindows 10 utenti devono attendere per installare l’aggiornamento più recente TechRepublic
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0