Sites chineses estão sob ataque há uma semana por meio de um novo bug no framework PHP

Mais de 45.000 sites chineses estão sob uma enxurrada de ataques de criminosos que buscam acesso a servidores da web.

Os ataques têm como alvo sites construídos com o ThinkPHP , um framework PHP feito na China que é muito popular entre a cena de desenvolvimento web local.

Todos os ataques começaram depois que a empresa chinesa de segurança cibernética VulnSpy publicou uma prova de conceito para o ThinkPHP no ExploitDB, um site popular por hospedar códigos de exploração gratuitos.

O código de prova de conceito explora uma vulnerabilidade no método invokeFunction da estrutura para executar código mal-intencionado no servidor subjacente. A vulnerabilidade é explorável remotamente, como a maioria das vulnerabilidades em aplicativos baseados na Web tendem a ser, e pode permitir que um invasor obtenha controle sobre o servidor.

OS ATAQUES COMEÇARAM DENTRO DE UM DIA

“O PoC foi publicado em 11 de dezembro e vimos scans pela internet menos de 24 horas depois”, disse Troy Mursch , co-fundador da Bad Packets LLC, ao site ZDNet .

Quatro outras empresas de segurança – F5 Labs , GreyNoise , NewSky Security e Trend Micro – também relataram exames semelhantes, que cresceram em intensidade nos dias seguintes.

O número de grupos de ameaças organizadas que exploram a nova vulnerabilidade do ThinkPHP também cresceu também. Agora existem os invasores originais, outro grupo que os especialistas em segurança denominaram “D3c3mb3r” e um grupo que está usando a vulnerabilidade do ThinkPHP para infectar servidores com o malware Miori IoT.

Este último grupo, detectado pela Trend Micro, também sugere que o framework ThinkPHP pode ter sido usado para construir painéis de controle de alguns roteadores domésticos e dispositivos IoT, já que a Miori não seria capaz de funcionar adequadamente em servidores Linux reais.

Além disso, o NewSky Security também detectou um quarto grupo de varredura para sites baseados em ThinkPHP e a tentativa de executar comandos do Microsoft Powershell.

“O Powershell é bizarro” , disse à ZDNet Ankit Anubhav , principal pesquisador de segurança da NewSky Security . “Eles realmente têm algum código que verifica o tipo de sistema operacional e executa diferentes códigos de exploração para o Linux, mas também executam o Powershell apenas para tentar a sorte.”

Mas o maior de todos os grupos que exploram esta vulnerabilidade do ThinkPHP é o grupo que eles chamam de D3c3mb3r. Este grupo não é particularmente focado apenas em sites do ThinkPHP. Este grupo procura por tudo PHP.

“Eles são muito barulhentos em PHP”, Anubhav nos disse. “Principalmente procurando servidores web e não dispositivos IoT.”

Mas esse grupo, por enquanto, não está fazendo nada de especial. Eles não infectam servidores com mineradores de criptomoedas ou qualquer malware. Eles simplesmente procuram por hosts vulneráveis, executam um comando básico “echo hello d3c3mb3r”, e é isso.

“Não tenho certeza sobre o motivo deles”, disse Anubhav.

MAIS DE 45.000 HOSTS VULNERÁVEIS

De acordo com uma pesquisa da Shodan , existem atualmente mais de 45.800 servidores executando um aplicativo da web baseado no ThinkPHP que podem ser acessados ​​online. Mais de 40.000 delas estão hospedadas em endereços IP chineses, o que faz sentido, pois a documentação do ThinkPHP está disponível apenas em chinês e provavelmente não é usada fora do país.

Isso também explica por que a maioria dos invasores que procuram por sites do ThinkPHP também são na maioria chineses.

“Até agora, os únicos hosts que vimos a varredura para instalações ThinkPHP vieram da China ou da Rússia”, disse Mursch à ZDNet após consultar dados sobre a origem da maioria dessas varreduras.

Mas você não precisa ser chinês para explorar uma vulnerabilidade no software chinês. À medida que mais grupos de ameaças aprenderem sobre essa nova maneira fácil de invadir servidores da Web, os ataques a sites chineses se intensificarão.

A F5 Labs também publicou uma análise técnica da vulnerabilidade do ThinkPHP e como o código de exploração funciona aqui .