45 тыс. китайских сайтов под угрозой кибератак из-за уязвимости в ThinkPHP

Порядка 45 тыс. китайских web-сайтов подверглись кибератакам злоумышленников, пытавшихся получить доступ к web-серверам. Целями для атак стали сайты, созданные с использованием ThinkPHP – китайского PHP-фреймворка, пользующегося большой популярностью у китайских разработчиков.

Атаки начались после того, как китайская ИБ-компания VulnSpy опубликовала на сайте ExploitDB, где выкладываются бесплатные эксплоиты, PoC-эксплоит для уязвимости в ThinkPHP . Эксплоит предназначен для уязвимости в методе invokeFunction, позволяющей удаленно выполнить на сервере произвольный код и получить над ним полный контроль.

Эксплоит был опубликован 11 декабря, и в течение 24 часов Трой Марш (Troy Mursch) из Bad Packets LLC зафиксировал всплеск сканирований интернета в поисках уязвимых серверов. Также стремительно начало расти число киберпреступных группировок, осуществляющих сканирование.

Крупнейшей группировкой является D3c3mb3r. Однако ее интересуют сайты не только на ThinkPHP, а на PHP в целом. Интерес для киберпреступников представляют web-серверы и устройства «Интернета вещей» (IoT). Пока что группировка не предпринимает никаких серьезных шагов, а только ищет уязвимые хосты и запускает команду «echo hello d3c3mb3r». На данный момент мотивы D3c3mb3r неясны.

Еще одна группировка, обнаруженная Trend Micro, заражает уязвимые IoT-устройства вредоносным ПО Miori. По мнению исследователей, вероятно, панели управления некоторых домашних маршрутизаторов и других IoT-устройств написаны на ThinkPHP, поскольку Miori не работает на Linux.

Специалисты из NewSky Security обнаружили еще одну группировку, атакующую сайты на ThinkPHP и пытающуюся запускать команды Microsoft Powershell. «Powershell – это весьма странно. У них (киберпреступников – ред.), в общем-то, есть код для определения типа ОС, запускающий на Linux совсем другие эксплоиты, но они также пробуют Powershell на всякий случай», – сообщил Анкит Анубхав (Ankit Anubhav) NewSky Security изданию ZDNet.