Злоумышленники продолжают эксплуатировать уязвимость в ThinkPHP

Злоумышленники продолжают эксплуатировать уязвимость в ThinkPHP

Организаторы кибератак используют относительно простые методы для запуска криптомайнеров и скиммеров.

В декабре минувшего года SecurityLab сообщал об уязвимости в китайском PHP-фреймворке ThinkPHP, позволявшей удаленно выполнить код. Хотя уязвимость (CVE-2018-20062) уже исправлена ​​разработчиком, злоумышленники продолжают активно эксплуатировать проблему.

Сотрудник компании Akamai Лэрри Кэшдоллар (Larry Cashdollar) выявил ряд экспоитов для данной уязвимости, когда проводил анализ недавней атаки Magecart на расширения для системы управления интернет-магазинами Magento. По его словам, атакующие используют уязвимость для внедрения различного вредоносного ПО - от троянов для ПК на базе Windows и IoT-устройств до криптомайнеров.

Киберпреступники используют относительно простые методы для эксплуатации проблем. Как отметил исследователь, всего одна строка кода может провести проверку на наличие уязвимости, которая затем может использоваться в атаках, предполагающих применение доступного в Сети вредоносного кода. В одном из случаев атакующие пытались распространить вариант вредоносного ПО Mirai. Это говорит о том, что операторы Mirai-ботнетов уже начали добавлять эксплоиты для ThinkPHP в свой арсенал.

Выполнение кода через вызовы PHP-фреймворка позволяет пропустить ряд этапов. «В 1990-х годах люди всегда пытались получить права суперпользователя. Теперь это не имеет значения. Они просто хотят выполнять код на системе с любыми правами для внедрения вредоносных программ или майнинга криптовалюты», - отметил Кэшдоллар.

В основном злоумышленники атакуют системы в Азии, где фреймворк ThinkPHP весьма популярен, но также уделяют внимание Европе и США. Атакующих интересуют компании в различных сферах - от разработчиков программного обеспечения до фирм, занимающихся прокатом автомобилей.

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!