Κινέζοι hacker στοχεύουν τα ελαττώματα CVE-2018-20062 και CVE-2019-9082 στις εφαρμογές ThinkPHP, για να εγκαταστήσουν ένα μόνιμο web shell που ονομάζεται Dama.
Δείτε επίσης: Exploit για σοβαρό σφάλμα Fortinet RCE, ενημερώστε τώρα
Το web shell επιτρέπει την περαιτέρω εκμετάλλευση των παραβιασμένων τελικών σημείων, όπως τη δέσμευσή τους ως μέρος της υποδομής των εισβολέων, για την αποφυγή εντοπισμού σε επόμενες λειτουργίες. Τα πρώτα σημάδια αυτής της δραστηριότητας χρονολογούνται από τον Οκτώβριο του 2023, αλλά σύμφωνα με τους αναλυτές της Akamai που την παρακολουθούν, η κακόβουλη δραστηριότητα πρόσφατα επεκτάθηκε και εντάθηκε.
Στόχευση παλαιών τρωτών σημείων
Το ThinkPHP είναι ένα πλαίσιο ανάπτυξης εφαρμογών ιστού ανοιχτού κώδικα, που είναι ιδιαίτερα δημοφιλές στην Κίνα.
Το ελάττωμα CVE-2018-20062, που διορθώθηκε τον Δεκέμβριο του 2018, είναι ένα ζήτημα που ανακαλύφθηκε στο NoneCMS 1.3, που επιτρέπει στους απομακρυσμένους εισβολείς να εκτελούν αυθαίρετο κώδικα PHP μέσω δημιουργημένης χρήσης της παραμέτρου φίλτρου.
Το ελάττωμα CVE-2019-9082 που επηρεάζει το ThinkPHP 3.2.4 και παλαιότερες εκδόσεις, που χρησιμοποιείται στο Open Source BMS 1.1.1., είναι ένα πρόβλημα εκτέλεσης απομακρυσμένων εντολών που αντιμετωπίστηκε τον Φεβρουάριο του 2019.
Δείτε ακόμα: Ivanti: Διορθώνει ελαττώματα ασφαλείας στο Endpoint Manager
Τα δύο ελαττώματα ThinkPHP, αξιοποιούνται σε αυτήν την καμπάνια για να μπορούν οι εισβολείς να εκτελούν απομακρυσμένη εκτέλεση κώδικα, επηρεάζοντας τα υποκείμενα συστήματα διαχείρισης περιεχομένου (CMS) στα τελικά σημεία του στόχου.
Συγκεκριμένα, οι εισβολείς εκμεταλλεύονται τα σφάλματα για να κατεβάσουν ένα αρχείο κειμένου με το όνομα “public.txt“, το οποίο στην πραγματικότητα, είναι το ασαφές web shell Dama που έχει αποθηκευτεί ως “roeter.php“.
Το ωφέλιμο φορτίο λαμβάνεται από παραβιασμένους διακομιστές που βρίσκονται στο Χονγκ Κονγκ και παρέχει στους εισβολείς απομακρυσμένο έλεγχο διακομιστή ακολουθώντας ένα απλό βήμα ελέγχου ταυτότητας χρησιμοποιώντας τον κωδικό πρόσβασης “admin“.
Η Akamai λέει ότι οι διακομιστές που παραδίδουν τα ωφέλιμα φορτία έχουν μολυνθεί οι ίδιοι με το web shell, επομένως φαίνεται ότι τα παραβιασμένα συστήματα μετατρέπονται σε κόμβους στην υποδομή του εισβολέα.
Η εκμετάλλευση αυτών των παλιών ελαττωμάτων χρησιμεύει ως μια ακόμα υπενθύμιση του επίμονου προβλήματος της κακής διαχείρισης των ευπαθειών, καθώς οι εισβολείς, σε αυτήν την περίπτωση, αξιοποιούν ευπάθειες ασφαλείας που διορθώθηκαν εδώ και πολύ καιρό.
Η προτεινόμενη ενέργεια για οργανισμούς που ενδέχεται να επηρεαστούν είναι να μετακινηθούν στην πιο πρόσφατη έκδοση ThinkPHP, την 8.0, η οποία είναι ασφαλής έναντι γνωστών ελαττωμάτων εκτέλεσης απομακρυσμένου κώδικα. Η Akamai σημειώνει επίσης ότι το εύρος στόχευσης αυτής της καμπάνιας είναι ευρύ, επηρεάζοντας ακόμη και συστήματα που δεν χρησιμοποιούν ThinkPHP, γεγονός που υποδηλώνει ευκαιριακά κίνητρα.
Δείτε επίσης: Το GitHub προειδοποιεί για ελάττωμα auth bypass SAML
Ένα web shell, όπως αυτό που εγκαθίσταται μέσω των ελαττωμάτων ThinkPHP, είναι ένα κακόβουλο σενάριο που αναπτύσσεται σε διακομιστές Ιστού με σκοπό να παράσχει στους εισβολείς μη εξουσιοδοτημένη πρόσβαση. Αυτά τα σενάρια μπορούν να γραφτούν σε διάφορες γλώσσες προγραμματισμού, όπως PHP, ASP ή Perl, και επιτρέπουν στους εισβολείς να εκτελούν αυθαίρετες εντολές στον επηρεαζόμενο διακομιστή. Μόλις αναπτυχθεί, ένα web shell λειτουργεί ως backdoor, επιτρέποντας συνεχή πρόσβαση στον διακομιστή χωρίς να χρειάζεται επανειλημμένη εκμετάλλευση τρωτών σημείων. Ο εντοπισμός και η αφαίρεση web shell μπορεί να είναι δύσκολη, καθώς συχνά μιμούνται νόμιμα αρχεία ή διαδικασίες. Κατά συνέπεια, οι διακομιστές ιστού πρέπει να χρησιμοποιούν ισχυρά μέτρα ασφαλείας, συμπεριλαμβανομένων τακτικών ενημερώσεων, ενδελεχών ελέγχων ασφαλείας και παρακολούθησης σε πραγματικό χρόνο για τον μετριασμό των κινδύνων που σχετίζονται με τα web shells.
Πηγή: bleepingcomputer
