Các trang web Trung Quốc đã bị tấn công trong một tuần thông qua lỗi khung PHP mới

Hơn 45.000 trang web của Trung Quốc đã phải chịu một loạt các cuộc tấn công từ những kẻ bất lương đang tìm cách truy cập vào các máy chủ web, ZDNet đã học được.

Các cuộc tấn công đã nhắm mục tiêu các trang web được xây dựng với ThinkPHP, một khung công tác PHP do Trung Quốc sản xuất, rất phổ biến trong bối cảnh phát triển web địa phương.

Tất cả các cuộc tấn công bắt đầu sau khi công ty an ninh mạng VulnSpy của Trung Quốc đăng một khai thác bằng chứng về khái niệm cho ThinkPHP trên MiningitDB, một trang web phổ biến để lưu trữ mã khai thác miễn phí.

Mã bằng chứng khái niệm khai thác lỗ hổng trong phương thức invokeFunction của khung để thực thi mã độc trên máy chủ bên dưới. Lỗ hổng có thể khai thác từ xa, vì hầu hết các lỗ hổng trong các ứng dụng dựa trên web có xu hướng và có thể cho phép kẻ tấn công giành quyền kiểm soát máy chủ.

CÁC CUỘC TẤN CÔNG BẮT ĐẦU CHỈ TRONG VÒNG 1 NGÀY

“PoC đã được xuất bản vào ngày 11 tháng 12 và chúng tôi đã thấy các bản quét trên internet chưa đầy 24 giờ sau đó”, Troy Mursch, đồng sáng lập của Bad Packets LLC nói với ZDNet hôm nay.

Bốn công ty bảo mật khác – F5 Labs, GreyNiri, NewSky Security và Trend Micro– cũng đã báo cáo các bản quét tương tự, đã tăng cường độ trong những ngày tiếp theo.

Số lượng các nhóm đe dọa có tổ chức khai thác lỗ hổng ThinkPHP mới cũng đã tăng lên. Hiện tại có những kẻ tấn công ban đầu, một nhóm khác mà các chuyên gia bảo mật có tên là “D3c3mb3r” và một nhóm sử dụng lỗ hổng ThinkPHP để lây nhiễm các máy chủ bằng phần mềm độc hại Miori IoT.

Nhóm cuối cùng này, được Trend Micro phát hiện, cũng gợi ý rằng khung ThinkPHP có thể đã được sử dụng để xây dựng bảng điều khiển của một số bộ định tuyến gia đình và thiết bị IoT, vì Miori sẽ không thể hoạt động chính xác trên các máy chủ Linux thực tế.

Hơn nữa, NewSky Security cũng đã phát hiện quét nhóm thứ tư cho các trang web dựa trên ThinkPHP và cố gắng chạy các lệnh Microsoft Powershell.

“Người Powershell rất kỳ quái,” Ankit Anubhav, Nhà nghiên cứu bảo mật chính cho NewSky Security nói với ZDNet. “Họ thực sự có một số mã kiểm tra loại HĐH và chạy mã khai thác khác nhau cho Linux, nhưng họ cũng chạy Powershell chỉ để thử vận ​​may.”

Nhưng nhóm lớn nhất trong tất cả các nhóm khai thác lỗ hổng ThinkPHP này là nhóm mà họ gọi là D3c3mb3r. Nhóm này không chỉ tập trung vào các trang ThinkPHP. Nhóm này quét mọi thứ PHP.

“Họ rất ồn ào về PHP,” Anubhav nói với chúng tôi. “Chủ yếu là tìm kiếm các máy chủ web chứ không phải thiết bị IoT.”

Nhưng nhóm này, hiện tại, không làm gì đặc biệt. Họ không lây nhiễm máy chủ bằng công cụ khai thác tiền điện tử hoặc bất kỳ phần mềm độc hại nào. Họ chỉ đơn giản là quét các máy chủ dễ bị tấn công, chạy lệnh “echo hello d3c3mb3r” cơ bản và đó là nó.

“Tôi không chắc chắn về động cơ của họ,” Anubhav nói.

HƠN 45.000 MÁY CHỦ CÓ THỂ BỊ ẢNH HƯỞNG

Theo một tìm kiếm của Shodan, hiện có hơn 45.800 máy chủ đang chạy một ứng dụng web dựa trên ThinkPHP có thể truy cập trực tuyến. Hơn 40.000 trong số này được lưu trữ trên các địa chỉ IP của Trung Quốc, điều này hợp lý vì tài liệu của ThinkPHP chỉ có sẵn bằng tiếng Trung Quốc và rất có thể không được sử dụng bên ngoài quốc gia.

Điều này cũng giải thích tại sao hầu hết những kẻ tấn công tìm kiếm các trang ThinkPHP cũng chủ yếu là người Trung Quốc.

“Cho đến nay các máy chủ duy nhất chúng tôi thấy quét các cài đặt ThinkPHP đến từ Trung Quốc hoặc Nga”, Mursch nói với ZDNet sau khi tư vấn dữ liệu liên quan đến nguồn gốc của hầu hết các lần quét này.

Nhưng bạn không cần phải là người Trung Quốc thì mới khai thác được lỗ hổng trong phần mềm Trung Quốc. Khi nhiều nhóm đe dọa sẽ tìm hiểu về cách dễ dàng mới này để hack vào các máy chủ web, các cuộc tấn công vào các trang web Trung Quốc sẽ tăng cường.

Nguồn bài viết : https://www.zdnet.com