Hackers atacam ThinkPHP
7 de Junho de 2024

Agentes de ameaças chineses estão mirando aplicações ThinkPHP vulneráveis ao CVE-2018-20062 e CVE-2019-9082 para instalar um web shell persistente chamado Dama.

O web shell possibilita a exploração adicional dos endpoints violados, como alistá-los como parte da infraestrutura dos atacantes para evadir detecção em operações subsequentes.

Os primeiros sinais dessa atividade remontam a outubro de 2023, mas segundo analistas da Akamai que a monitoram, a atividade maliciosa recentemente expandiu e intensificou.

ThinkPHP é um framework de desenvolvimento de aplicativos web de código aberto que é particularmente popular na China.

CVE-2018-20062 , corrigido em dezembro de 2018, é um problema descoberto no NoneCMS 1.3, permitindo que atacantes remotos executem código PHP arbitrário via uso elaborado do parâmetro de filtro.

CVE-2019-9082 impacta ThinkPHP 3.2.4 e versões anteriores, usado no Open Source BMS 1.1.1, é um problema de execução de comando remoto endereçado em fevereiro de 2019.

As duas falhas são aproveitadas nessa campanha para possibilitar aos atacantes realizar a execução de código remoto, impactando os sistemas de gerenciamento de conteúdo (CMS) subjacentes nos endpoints alvo.

Especificamente, os atacantes exploram os bugs para baixar um arquivo de texto chamado "public.txt", que, na realidade, é o web shell Dama ofuscado salvo como "roeter.php".

O payload é baixado de servidores comprometidos localizados em Hong Kong e proporciona aos atacantes controle remoto do servidor após um simples passo de autenticação usando a senha "admin".

A Akamai diz que os servidores que entregam os payloads estão infectados eles mesmos com o mesmo web shell, então parece que sistemas comprometidos são transformados em nós na infraestrutura do atacante.

Dama possui capacidades avançadas que permitem aos agentes de ameaças navegar pelo sistema de arquivos no servidor comprometido, carregar arquivos e coletar dados do sistema, essencialmente auxiliando na escalada de privilégios.

Ele também pode realizar varredura de portas de rede, acessar bancos de dados e bypassar funções PHP desativadas para execução de comandos shell.

Uma omissão notável nas capacidades do Dama é a falta de uma interface de linha de comando, que permitiria aos agentes de ameaças uma abordagem mais prática para executar comandos.

A Akamai observa que essa funcionalidade ausente é notável dado a extensa funcionalidade do Dama de outra forma.

Explorar falhas de 6 anos atrás serve como mais um lembrete do problema persistente de má gestão de vulnerabilidades, já que os atacantes, neste caso, aproveitam vulnerabilidades de segurança corrigidas há muito tempo.

A ação recomendada para organizações potencialmente impactadas é migrar para a versão mais recente do ThinkPHP, versão 8.0, que é segura contra bugs conhecidos de execução de código remoto.

Akamai também observa que o escopo de alvo dessa campanha é amplo, impactando até sistemas que não usam ThinkPHP, o que sugere motivos oportunistas.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...