報道稱,多家網絡安全公司最近發現了針對運行基於ThinkPHP的Web應用的服務器的掃描活動。ThinkPHP是壹個快速、兼容、簡單的輕量級國產PHP開發框架,支持Windows/Unix/Linux、MySql、PgSQL、Sqlite、PDO插件等服務器環境。在國內Web開發領域非常流行。
此外,所有這些掃描活動都是在網絡安全公司VulnSpy向ExploitDB網站發布了壹個ThinkPHP漏洞的概念證明代碼(PoC)之後開始的。這裏需要註意的是,ExploitDB是壹個流行的網站,它提供免費的托管漏洞利用代碼。
VulnSpy發布的概念驗證代碼利用了ThinkPHP開發框架的invokeFunction函數中的壹個漏洞,在底層服務器上執行任意代碼。值得註意的是,該漏洞可以被遠程利用,並允許攻擊者獲得對服務器的完全控制。
“PoC是65438+2月11發布的,不到24小時後我們就看到了相關的互聯網掃描。”網絡安全公司Bad Packets LLC的聯合創始人Troy Mursch告訴ZDNet。
隨後,其他四家安全公司-F5實驗室、GreyNoise、NewSky Security和趨勢科技也報告了類似的掃描。此外,這些掃描在接下來的幾天裏呈上升趨勢。
與此同時,開始利用這個ThinkPHP漏洞實施攻擊的黑客組織數量也在不斷增加。截至目前,已確認的黑客組織至少包括:最初利用該漏洞的攻擊者,壹個被安全專家命名為“D3c3mb3r”的黑客組織,以及另壹個利用該漏洞傳播Miori物聯網惡意軟件的黑客組織。
趨勢科技檢測到的最後壹組數據也顯示,旨在傳播Miori物聯網惡意軟件的黑客組織似乎想利用該漏洞入侵家用路由器和IoT設備的控制面板,因為Miori無法在實際的Linux服務器上正常運行。
此外,根據NewSky Security檢測到的另壹組掃描,攻擊者試圖在運行基於ThinkPHP的Web應用程序的服務器上運行Microsoft Powershell命令。NewSky Security首席安全研究員Ankit Anubhav告訴ZDNet,“這些Powershell命令似乎有點多余。事實上,攻擊者擁有的壹些代碼可以用來檢查操作系統的類型,並為不同的Linux服務器運行不同的漏洞利用代碼。運行Powershell命令可能只是為了碰碰運氣。”
其實最大規模掃描的始作俑者應該是被安全專家命名為“D3c3mb3r”的黑客組織。但是這個組織並沒有做什麽特別的事情。他們沒有使用加密貨幣礦工或任何其他惡意軟件來感染服務器。他們只是掃描易受攻擊的服務器,然後運行壹個基本的“echo hello d3c3mb3r”命令。
Ankit Anubhav告訴ZDNet:“我不確定他們的動機。”
根據Shodan搜索引擎的統計,目前有超過45,800臺服務器運行基於ThinkPHP的Web應用程序,可以在線訪問。其中,超過40,000個托管在中國的IP地址上。這主要是因為ThinkPHP文檔只有中文版,所以在國外用的可能性不大。這也解釋了為什麽大多數被認為易受攻擊的網站是中國網站。
安全專家認為,隨著越來越多的黑客組織了解到這種入侵網絡服務器的方法,對中國網站的攻擊必然會增加。
此外,F5實驗室已經公布了此次ThinkPHP漏洞的技術分析和POC的工作原理。妳可以點擊這裏查看。
本文由黑客視界綜合網整理,圖片均來自網絡;請註明“轉自黑客視界”,並附上鏈接。