Vulnerabilidades de seguridad expuestas en el marco de desarrollo ThinkPHP, que afectan a más de 45.000 sitios web chinos
Según el medio extranjero ZDNet, recientemente se ha descubierto que más de 45.000 sitios web chinos son vulnerables a ataques de piratas informáticos, y la causa fundamental de este riesgo de seguridad es sólo una vulnerabilidad de ThinkPHP.
Según informes, varias empresas de seguridad de redes han descubierto recientemente actividades de escaneo dirigidas a servidores que ejecutan aplicaciones web basadas en ThinkPHP. ThinkPHP es un marco de desarrollo PHP doméstico, ligero, rápido, compatible y sencillo que admite Windows/Unix/Linux y otros entornos de servidor, así como bases de datos MySql, PgSQL, Sqlite y complementos PDO. Es muy popular en el campo del desarrollo web nacional. .
Además, todas estas actividades de escaneo comenzaron después de que la empresa de ciberseguridad VulnSpy publicara un código de prueba de concepto (PoC) de una vulnerabilidad de ThinkPHP en el sitio web de ExploitDB. Cabe señalar aquí que ExploitDB es un sitio web popular que ofrece alojamiento gratuito de códigos de explotación de vulnerabilidades.
El código de prueba de concepto publicado por VulnSpy explota una vulnerabilidad en la función invokeFunction del marco de desarrollo ThinkPHP para ejecutar código arbitrario en el servidor subyacente. Vale la pena señalar que esta vulnerabilidad se puede explotar de forma remota y permite a un atacante obtener el control total del servidor.
"La prueba de concepto se publicó el 11 de diciembre y vimos análisis de Internet relacionados menos de 24 horas después", dijo a ZDNet Troy Mursch, cofundador de la empresa de ciberseguridad Bad Packets LLC.
Posteriormente, otras cuatro empresas de seguridad informaron de análisis similares: F5 Labs, GreyNoise, NewSky Security y Trend Micro. Y esas exploraciones continuaron con una tendencia ascendente durante los próximos días.
Al mismo tiempo, también está aumentando el número de grupos de hackers que han comenzado a explotar esta vulnerabilidad de ThinkPHP para llevar a cabo ataques. Los grupos de hackers identificados hasta ahora incluyen al menos al atacante que originalmente aprovechó la vulnerabilidad, un grupo de hackers llamado "D3c3mb3r" por los expertos en seguridad y otro grupo de hackers que aprovechó la vulnerabilidad para difundir el malware Miori IoT.
El último conjunto de datos detectados por Trend Micro también indica que el grupo de hackers que pretende difundir el malware Miori IoT parece querer explotar la vulnerabilidad para comprometer los paneles de control de los routers domésticos y los dispositivos IoT, como afirma Miori. No funciona correctamente en un servidor Linux real.
Además, NewSky Security detectó otro conjunto de análisis en los que los atacantes intentaron ejecutar comandos Microsoft Powershell en servidores que ejecutaban aplicaciones web basadas en ThinkPHP. Ankit Anubhav, investigador principal de seguridad de NewSky Security, dijo a ZDNet: "Estos comandos de Powershell pueden parecer redundantes. De hecho, los atacantes tienen algún código que puede usarse para verificar el tipo de sistema operativo y ejecutar diferentes exploits para diferentes servidores Linux. Código , ejecutar comandos de Powershell puede ser simplemente probar suerte”.
De hecho, el iniciador del escaneo más grande debería ser el grupo de hackers mencionado anteriormente llamado “D3c3mb3r” por los expertos en seguridad. Pero esta organización no está haciendo nada especial. No utilizaron mineros de criptomonedas ni ningún otro malware para infectar los servidores. Simplemente buscan servidores vulnerables y ejecutan un comando básico "echo hello d3c3mb3r".
Ankit Anubhav dijo a ZDNet: "No estoy seguro de sus motivos".
Según el motor de búsqueda Shodan, actualmente hay más de 45.800 servidores ejecutando aplicaciones web basadas en ThinkPHP. Disponible en línea. Entre ellos, más de 40.000 están alojados en direcciones IP chinas.
Esto se debe principalmente al hecho de que la documentación de ThinkPHP sólo proporciona una versión china, por lo que es poco probable que se utilice en el extranjero. Esto también explica por qué la mayoría de los sitios web considerados vulnerables a ataques son sitios web chinos.
Los expertos en seguridad creen que a medida que más grupos de hackers conozcan este método de invadir servidores web, los ataques a sitios web chinos inevitablemente aumentarán.
Además, F5 Labs ha anunciado el análisis técnico de esta vulnerabilidad de ThinkPHP y el principio de funcionamiento del POC. Puedes hacer clic aquí para verlo.
Este artículo fue compilado por la red integral de Hacker Vision y las imágenes provienen de Internet al reimprimir, indique "Reimpreso de Hacker Vision" y adjunte un enlace.