Hay lagunas en el código fuente de PHP.
Los informes indican que varias empresas de seguridad de red han descubierto recientemente actividades de escaneo dirigidas a servidores que ejecutan aplicaciones web basadas en ThinkPHP. ThinkPHP es un marco de desarrollo PHP doméstico ligero, rápido, compatible y sencillo que admite complementos Windows/Unix/Linux, MySql, PgSQL, Sqlite, PDO y otros entornos de servidor. Es muy popular en el campo del desarrollo web nacional.
Además, todas estas campañas de escaneo comenzaron después de que la empresa de ciberseguridad VulnSpy publicara un código de prueba de concepto (PoC) de una vulnerabilidad de ThinkPHP en el sitio web de ExploitDB. Algo a tener en cuenta aquí es que ExploitDB es un sitio web popular que proporciona código de explotación alojado de forma gratuita.
El código de prueba de concepto publicado por VulnSpy explota una vulnerabilidad en la función invokeFunction del marco de desarrollo ThinkPHP para ejecutar código arbitrario en el servidor subyacente. Vale la pena señalar que esta vulnerabilidad se puede explotar de forma remota y permite a un atacante obtener el control total del servidor.
"El PoC se publicó el 11 de febrero en 65438+, y menos de 24 horas después vimos análisis de Internet relacionados", dijo a ZDNet Troy Mursch, cofundador de la empresa de ciberseguridad Bad Packets LLC.
Posteriormente, otras cuatro empresas de seguridad: F5 Labs, GreyNoise, NewSky Security y Trend Micro informaron análisis similares. Además, estas exploraciones tuvieron una tendencia al alza durante los próximos días.
Al mismo tiempo, también está aumentando el número de grupos de hackers que han comenzado a explotar esta vulnerabilidad de ThinkPHP para llevar a cabo ataques. Hasta ahora, los grupos de hackers confirmados incluyen al menos al atacante que originalmente aprovechó la vulnerabilidad, un grupo de hackers llamado "D3c3mb3r" por los expertos en seguridad y otro grupo de hackers que aprovechó la vulnerabilidad para difundir el malware Miori IoT.
El último conjunto de datos detectados por Trend Micro también muestra que el grupo de hackers que pretende difundir el malware Miori IoT parece querer utilizar esta vulnerabilidad para invadir los paneles de control de los routers domésticos y los dispositivos IoT, porque Miori no puede. En realidad se ejecuta normalmente en el servidor Linux.
Además, según otro conjunto de análisis detectados por NewSky Security, los atacantes intentaron ejecutar comandos Microsoft Powershell en servidores que ejecutaban aplicaciones web basadas en ThinkPHP. Ankit Anubhav, investigador principal de seguridad de NewSky Security, dijo a ZDNet: "Estos comandos de Powershell parecen un poco redundantes. De hecho, los atacantes tienen algún código que puede usarse para verificar el tipo de sistema operativo y ejecutar diferentes códigos de explotación para diferentes servidores Linux. Ejecutar el comando Powershell puede ser solo para probar suerte”.
De hecho, el iniciador del análisis más grande debería ser el grupo de hackers llamado “D3c3mb3r” por los expertos en seguridad. Pero esta organización no está haciendo nada especial. No utilizaron mineros de criptomonedas ni ningún otro malware para infectar los servidores. Simplemente buscan servidores vulnerables y ejecutan un comando básico "echo hello d3c3mb3r".
Ankit Anubhav dijo a ZDNet: "No estoy seguro de sus motivos".
Según el motor de búsqueda Shodan, actualmente hay más de 45.800 servidores ejecutando aplicaciones web basadas en ThinkPHP. , se puede acceder en línea. De ellos, más de 40.000 están alojados en direcciones IP chinas. Esto se debe principalmente a que la documentación de ThinkPHP sólo está en chino, por lo que es poco probable que se utilice en el extranjero. Esto también explica por qué la mayoría de los sitios web considerados vulnerables son sitios web chinos.
Los expertos en seguridad creen que a medida que más grupos de hackers conozcan este método de invadir servidores web, los ataques a sitios web chinos inevitablemente aumentarán.
Además, F5 Labs ha anunciado el análisis técnico de la vulnerabilidad ThinkPHP y el principio de funcionamiento del POC. Puedes hacer clic aquí para verlo.
Este artículo fue compilado por Hacker Vision Comprehensive Network y todas las imágenes provienen de Internet; indique "Reimpreso de Hacker Vision" y adjunte un enlace.