Категория > Новости > 45 000 китайских сайтов под угрозой из-за появления эксплоита для уязвимости в ThinkPHP - «Новости»
45 000 китайских сайтов под угрозой из-за появления эксплоита для уязвимости в ThinkPHP - «Новости»25-12-2018, 00:01. Автор: Kennett |
"); }else{ $('#mpu1-desktop').remove(); console.log('mpu1-desktop removed'); } }); Рекомендуем почитать: Xakep #236. FPGA
В середине декабря специалисты китайской фирмы VulnSpy опубликовали в сети PoC-эксплоит для уязвимости во фреймворке ThinkPHP. Данное решение весьма популярно среди разработчиков в Поднебесной, и в результате под угрозой оказались тысячи ресурсов. Описанная экспертами VulnSpy проблема связана с invokeFunction и позволяет удаленно выполнить произвольный код на сервере, где работает уязвимая версия ThinkPHP. Известный ИБ-специалист Трой Мурш (Troy Mursch), сооснователь компании Bad Packets LLC, сообщает, что первые попытки использования PoC, а также глобальные сканы, направленные на обнаружение уязвимых ThinkPHP, начались спустя всего сутки после публикации эксплоита. Аналогичную активность, которая лишь продолжает нарастать, заметили и специалисты компаний F5 Labs, GreyNoise, NewSky Security, и Trend Micro. По данным исследователей, в настоящее время уязвимость в ThinkPHP пытаются эксплуатировать сразу несколько хакерских групп. Эксперты наблюдают оригинальных атакующих, наиболее крупную и серьезную группировку под кодовым названием D3c3mb3r, а также группу, которая распространяет с помощью нового бага IoT-малварь Miori (очередная интерпретация незабвенного Mirai). Судя по активности последней группировки, выявленной Trend Micro, фреймворк ThinkPHP мог использоваться для создания контрольных панелей для некоторых роутеров и других устройств интернета вещей, так как Miori не способна функционировать на обычных Linux-серверах. Группа D3c3mb3r, которая демонстрирует наибольшую активность, пытается атаковать не только ThinkPHP, но вообще все, что связано с PHP. В основном эти хакеры ищут уязвимые веб-серверы и почти не интересуются IoT. Пока D3c3mb3r не предпринимают никаких действий: не заражают серверы майнерами или малварью, а их мотивы не ясны до конца. В свою очередь, аналитики NewSky Security сообщили об обнаружении четвертой группы, которая сканирует сеть в поисках сайтов с ThinkPHP и пытается адресовать им различные команды Microsoft Powershell. Эксперты отмечают, что это весьма странно, так как в распоряжении злоумышленников имеются инструменты для проверки типа ОС и различные эксплоиты для Linux, однако они все равно проверяют и команды Powershell, просто на всякий случай. По данным Shodan, в интернете можно обнаружить более 45 000 серверов с веб-приложениями на ThinkPHP. Свыше 40 000 из них находятся в Китае, что вовсе не удивительно, ведь даже документация для ThinkPHP существует только на китайском языке. Перейти обратно к новости |