Категория > Новости > 45 000 китайских сайтов под угрозой из-за появления эксплоита для уязвимости в ThinkPHP - «Новости»

45 000 китайских сайтов под угрозой из-за появления эксплоита для уязвимости в ThinkPHP - «Новости»


25-12-2018, 00:01. Автор: Kennett
");
}else{
$('#mpu1-desktop').remove();
console.log('mpu1-desktop removed');
}
});
Рекомендуем почитать:

Xakep #236. FPGA

  • Содержание выпуска

  • Подписка на «Хакер»

В середине декабря специалисты китайской фирмы VulnSpy опубликовали в сети PoC-эксплоит для уязвимости во фреймворке ThinkPHP. Данное решение весьма популярно среди разработчиков в Поднебесной, и в результате под угрозой оказались тысячи ресурсов.


Описанная экспертами VulnSpy проблема связана с invokeFunction и позволяет удаленно выполнить произвольный код на сервере, где работает уязвимая версия ThinkPHP.


Известный ИБ-специалист Трой Мурш (Troy Mursch), сооснователь компании Bad Packets LLC, сообщает, что первые попытки использования PoC, а также глобальные сканы, направленные на обнаружение уязвимых ThinkPHP, начались спустя всего сутки после публикации эксплоита. Аналогичную активность, которая лишь продолжает нарастать, заметили и специалисты компаний F5 Labs, GreyNoise, NewSky Security, и Trend Micro.


По данным исследователей, в настоящее время уязвимость в ThinkPHP пытаются эксплуатировать сразу несколько хакерских групп. Эксперты наблюдают оригинальных атакующих, наиболее крупную и серьезную группировку под кодовым названием D3c3mb3r, а также группу, которая распространяет с помощью нового бага IoT-малварь Miori (очередная интерпретация незабвенного Mirai).


Судя по активности последней группировки, выявленной Trend Micro, фреймворк ThinkPHP мог использоваться для создания контрольных панелей для некоторых роутеров и других устройств интернета вещей, так как Miori не способна функционировать на обычных Linux-серверах.


Группа D3c3mb3r, которая демонстрирует наибольшую активность, пытается атаковать не только ThinkPHP, но вообще все, что связано с PHP. В основном эти хакеры ищут уязвимые веб-серверы и почти не интересуются IoT. Пока D3c3mb3r не предпринимают никаких действий: не заражают серверы майнерами или малварью, а их мотивы не ясны до конца.


В свою очередь, аналитики NewSky Security сообщили об обнаружении четвертой группы, которая сканирует сеть в поисках сайтов с ThinkPHP и пытается адресовать им различные команды Microsoft Powershell. Эксперты отмечают, что это весьма странно, так как в распоряжении злоумышленников имеются инструменты для проверки типа ОС и различные эксплоиты для Linux, однако они все равно проверяют и команды Powershell, просто на всякий случай.


По данным Shodan, в интернете можно обнаружить более 45 000 серверов с веб-приложениями на ThinkPHP. Свыше 40 000 из них находятся в Китае, что вовсе не удивительно, ведь даже документация для ThinkPHP существует только на китайском языке.


Источник новостиgoogle.com
Перейти обратно к новости