Agentes de ameaças chineses estão mirando aplicações ThinkPHP vulneráveis ao
CVE-2018-20062
e
CVE-2019-9082
para instalar um web shell persistente chamado Dama.
O web shell possibilita a exploração adicional dos endpoints violados, como alistá-los como parte da infraestrutura dos atacantes para evadir detecção em operações subsequentes.
Os primeiros sinais dessa atividade remontam a outubro de 2023, mas segundo analistas da Akamai que a monitoram, a atividade maliciosa recentemente expandiu e intensificou.
ThinkPHP é um framework de desenvolvimento de aplicativos web de código aberto que é particularmente popular na China.
CVE-2018-20062
, corrigido em dezembro de 2018, é um problema descoberto no NoneCMS 1.3, permitindo que atacantes remotos executem código PHP arbitrário via uso elaborado do parâmetro de filtro.
CVE-2019-9082
impacta ThinkPHP 3.2.4 e versões anteriores, usado no Open Source BMS 1.1.1, é um problema de execução de comando remoto endereçado em fevereiro de 2019.
As duas falhas são aproveitadas nessa campanha para possibilitar aos atacantes realizar a execução de código remoto, impactando os sistemas de gerenciamento de conteúdo (CMS) subjacentes nos endpoints alvo.
Especificamente, os atacantes exploram os bugs para baixar um arquivo de texto chamado "public.txt", que, na realidade, é o web shell Dama ofuscado salvo como "roeter.php".
O payload é baixado de servidores comprometidos localizados em Hong Kong e proporciona aos atacantes controle remoto do servidor após um simples passo de autenticação usando a senha "admin".
A Akamai diz que os servidores que entregam os payloads estão infectados eles mesmos com o mesmo web shell, então parece que sistemas comprometidos são transformados em nós na infraestrutura do atacante.
Dama possui capacidades avançadas que permitem aos agentes de ameaças navegar pelo sistema de arquivos no servidor comprometido, carregar arquivos e coletar dados do sistema, essencialmente auxiliando na escalada de privilégios.
Ele também pode realizar varredura de portas de rede, acessar bancos de dados e bypassar funções PHP desativadas para execução de comandos shell.
Uma omissão notável nas capacidades do Dama é a falta de uma interface de linha de comando, que permitiria aos agentes de ameaças uma abordagem mais prática para executar comandos.
A Akamai observa que essa funcionalidade ausente é notável dado a extensa funcionalidade do Dama de outra forma.
Explorar falhas de 6 anos atrás serve como mais um lembrete do problema persistente de má gestão de vulnerabilidades, já que os atacantes, neste caso, aproveitam vulnerabilidades de segurança corrigidas há muito tempo.
A ação recomendada para organizações potencialmente impactadas é migrar para a versão mais recente do ThinkPHP, versão 8.0, que é segura contra bugs conhecidos de execução de código remoto.
Akamai também observa que o escopo de alvo dessa campanha é amplo, impactando até sistemas que não usam ThinkPHP, o que sugere motivos oportunistas.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...