ThinkPHP開發框架曝安全漏洞,超過4.5萬家中文網站受影響
據外媒ZDNet報道,近期有超過4.5萬家中文網站被發現容易遭到來自黑客的攻擊,而導致這一安全風險出現的根源竟然是一個ThinkPHP漏洞。
報道稱,有多家網路安全公司在近期都發現了針對執行著基於ThinkPHP的Web應用程式的伺服器的掃描活動。ThinkPHP是一個快速、相容而且簡單的輕量級國產PHP開發框架,支援Windows/Unix/Linux等伺服器環境,以及MySql、PgSQL、Sqlite多種資料庫和PDO外掛,在國內 Web 開發領域非常受歡迎。
另外,所有這些掃描活動都是在網路安全公司VulnSpy將一個ThinkPHP漏洞的概念驗證程式碼(PoC)釋出到ExploitDB網站上之後開始進行的。這裡需要說明的是,ExploitDB是一家提供免費託管漏洞利用程式碼的熱門網站。
VulnSpy公司釋出的概念驗證程式碼利用了一個存在於ThinkPHP開發框架invokeFunction 函式中的漏洞,以在底層伺服器上執行任意程式碼。值得注意的是,這個漏洞可以被遠端利用,且允許攻擊者獲得對伺服器的完全控制權限。
PoC在釋出的當天就遭到了濫用
“PoC是在12月11日釋出的,我們在不到24小時之後就看到了相關的網際網路掃描。” 網路安全公司Bad Packets LLC的聯合創始人Troy Mursch告訴ZDNet。
隨後,其他四家安全公司——F5 Labs、GreyNoise、NewSky Security和Trend Micro也報道了類似的掃描。並且,這些掃描在接下來的幾天裡一直呈上升趨勢。
與此同時,開始利用這個ThinkPHP 漏洞來開展攻擊活動的黑客組織也在不斷增加。到目前為止,被確認的黑客組織至少包括:最初利用該漏洞的攻擊者、一個被安全專家命名為“D3c3mb3r”的黑客組織、以及另一個利用該漏洞傳播Miori IoT惡意軟體的黑客組織。
由Trend Micro檢測到的最後一組資料還表明,旨在傳播Miori IoT惡意軟體的黑客組織似乎想要利用該漏洞來入侵家用路由器和物聯網裝置的控制面板,因為Miori無法在實際的Linux伺服器上正常執行。
此外,從NewSky Security檢測到另一組掃描來看,攻擊者試圖在執行著基於ThinkPHP的Web應用程式的伺服器上執行Microsoft Powershell命令。NewSky Security的首席安全研究員
事實上,最大規模掃描的發起者應該是上述被被安全專家命名為“D3c3mb3r”的黑客組織。但這個組織並沒有做任何特別的事情。他們沒有使用加密貨幣礦工或其他任何惡意軟體來感染伺服器。他們只是掃描易受攻擊的伺服器,然後執行一個基本的“echo hello d3c3mb3r”命令。
Ankit Anubhav告訴ZDNet:“我不確定他們的動機。”
超過4.5萬臺伺服器易遭到攻擊
根據Shodan搜尋引擎的統計,目前有超過45800臺執行著基於ThinkPHP的Web應用程式的伺服器可線上訪問。其中,有超過40000臺託管在中國IP地址上。這主要是由於ThinkPHP的文件僅提供了中文版本,因此不太可能在國外被使用。這也是解釋了為什麼被認為易遭到攻擊的網站大部分都是中文網站。
安全專家認為,隨著越來越多的黑客組織瞭解到這種入侵 Web 伺服器的方法,對中文網站的攻擊也必然會有所增加。
此外,F5 Labs已經公佈了有關這個ThinkPHP 漏洞的技術分析和POC的工作原理,大家可以通過點選這裡進行檢視。