據外媒ZDNet報道,近期有超過4.5萬家中文網站被發現容易遭到來自***的***,而導致這一安全風險出現的根源竟然是一個ThinkPHP漏洞。
報道稱,有多家網絡安全公司在近期都發現了針對運行着基於ThinkPHP的Web應用程序的服務器的掃描活動。ThinkPHP是一個快速、兼容而且簡單的輕量級國產PHP開發框架,支持Windows/Unix/Linux等服務器環境,以及MySql、PgSQL、Sqlite多種數據庫和PDO插件,在國內 Web 開發領域非常受歡迎。
另外,所有這些掃描活動都是在網絡安全公司VulnSpy將一個ThinkPHP漏洞的概念驗證代碼(PoC)發佈到ExploitDB網站上之後開始進行的。這裏需要說明的是,ExploitDB是一家提供免費託管漏洞利用代碼的熱門網站。
VulnSpy公司發佈的概念驗證代碼利用了一個存在於ThinkPHP開發框架invokeFunction 函數中的漏洞,以在底層服務器上執行任意代碼。值得注意的是,這個漏洞可以被遠程利用,且允許***者獲得對服務器的完全控制權限。
PoC在發佈的當天就遭到了濫用
“PoC是在12月11日發佈的,我們在不到24小時之後就看到了相關的互聯網掃描。” 網絡安全公司Bad Packets LLC的聯合創始人Troy Mursch告訴ZDNet。
隨後,其他四家安全公司——F5 Labs、GreyNoise、NewSky Security和Trend Micro也報道了類似的掃描。並且,這些掃描在接下來的幾天裏一直呈上升趨勢。
與此同時,開始利用這個ThinkPHP 漏洞來開展***活動的***組織也在不斷增加。到目前爲止,被確認的***組織至少包括:最初利用該漏洞的***者、一個被安全專家命名爲“D3c3mb3r”的***組織、以及另一個利用該漏洞傳播Miori IoT惡意軟件的***組織。
由Trend Micro檢測到的最後一組數據還表明,旨在傳播Miori IoT惡意軟件的***組織似乎想要利用該漏洞來***家用路由器和物聯網設備的控制面板,因爲Miori無法在實際的Linux服務器上正常運行。
此外,從NewSky Security檢測到另一組掃描來看,***者試圖在運行着基於ThinkPHP的Web應用程序的服務器上運行Microsoft Powershell命令。NewSky Security的首席安全研究員Ankit Anubhav告訴ZDNet,“這些Powershell命令看上去有些多餘。實際上,***者擁有的一些代碼完全可以用來檢查操作系統的類型,併爲不同的Linux服務器運行不同的漏洞利用代碼,運行Powershell命令可能只是爲了碰碰運氣。”
事實上,最大規模掃描的發起者應該是上述被被安全專家命名爲“D3c3mb3r”的***組織。但這個組織並沒有做任何特別的事情。他們沒有使用加密貨幣礦工或其他任何惡意軟件來感染服務器。他們只是掃描易受***的服務器,然後運行一個基本的“echo hello d3c3mb3r”命令。
Ankit Anubhav告訴ZDNet:“我不確定他們的動機。”
超過4.5萬臺服務器易遭到***
根據Shodan搜索引擎的統計,目前有超過45800臺運行着基於ThinkPHP的Web應用程序的服務器可在線訪問。其中,有超過40000臺託管在中國IP地址上。這主要是由於ThinkPHP的文檔僅提供了中文版本,因此不太可能在國外被使用。這也是解釋了爲什麼被認爲易遭到***的網站大部分都是中文網站。
安全專家認爲,隨着越來越多的***組織瞭解到這種*** Web 服務器的方法,對中文網站的***也必然會有所增加。
此外,F5 Labs已經公佈了有關這個ThinkPHP 漏洞的技術分析和POC的工作原理,大家可以通過點擊這裏進行查看。