Çin tehdit aktörleri, Dama adında kalıcı bir web kabuğu kurmak için CVE-2018-20062 ve CVE-2019-9082'ye karşı savunmasız ThinkphP uygulamalarını hedefliyor.
Web kabuğu, sonraki operasyonlarda tespitten kaçınmak için saldırganların altyapısının bir parçası olarak onları askere almak gibi ihlal edilen uç noktaların daha fazla kullanılmasını sağlar.
Bu etkinliğin ilk işaretleri Ekim 2023'e kadar uzanıyor, ancak Akamai analistlerinin izleyenlerine göre, kötü niyetli etkinlik yakın zamanda genişledi ve yoğunlaştı.
ThinkphP, Çin'de özellikle popüler olan açık kaynaklı bir web uygulaması geliştirme çerçevesidir.
Aralık 2018'de düzeltilen CVE-2018-20062, uzak saldırganların filtre parametresinin hazırlanmış kullanımı yoluyla keyfi PHP kodu yürütmesine izin veren ECMS 1.3'te keşfedilen bir sorundur.
CVE-2019-9082 Etkileri TÜREPSPP 3.2.4 ve daha büyük, açık kaynak BMS 1.1.1'de kullanılan, Şubat 2019'da ele alınan bir uzaktan komut yürütme sorunudur.
İki kusur, saldırganların uzaktan kod yürütülmesini sağlamak için bu kampanyada, hedef uç noktalardaki temel içerik yönetim sistemlerini (CMS) etkilemesini sağlamak için kullanılır.
Özellikle, saldırganlar "public.txt" adlı bir metin dosyasını indirmek için hataları kullanıyor, bu da gerçekte, "Roeter.php" olarak kaydedilen gizlenmiş Dama Web kabuğu.
Yük, Hong Kong'da bulunan uzlaştırılmış sunuculardan indirilir ve "Yönetici" şifresini kullanarak basit bir kimlik doğrulama adımının ardından saldırganlara uzak sunucu kontrolü sağlar.
Akamai, yükleri teslim eden sunucuların kendilerine aynı web kabuğuyla enfekte olduğunu, bu nedenle tehlikeye atılmış sistemlerin saldırganın altyapısında düğümlere dönüştürüldüğü anlaşılıyor.
Dama, tehdit aktörlerinin tehlikeye atılan sunucudaki dosya sisteminde gezinmesini, dosyaları yüklemesini ve sistem verilerini toplamasını sağlayan gelişmiş özelliklere sahiptir.
Ayrıca, kabuk komutu yürütmesi için ağ bağlantı noktası taraması, erişim veritabanları ve devre dışı bırakılmış php işlevlerini atlayabilir.
Dama'nın yeteneklerinden dikkate değer bir ihmal, tehdit aktörlerine komutları yürütmeye daha uygulamalı bir yaklaşım sağlayacak bir komut satırı arayüzünün olmamasıdır.
Akamai, Daman'ın aksi takdirde kapsamlı işlevselliği göz önüne alındığında, bu eksik işlevselliğin dikkate değer olduğunu belirtiyor.
6 yaşındaki kusurları istismar etmek, saldırganlar olarak, bu durumda, uzun zaman önce yamalı güvenlik açıklarından yararlanarak, zayıf güvenlik açığı yönetimi sorununun bir başka hatırlatıcısı olarak hizmet eder.
Potansiyel olarak etkilenen kuruluşlar için önerilen eylem, bilinen uzaktan kod yürütme hatalarına karşı güvenli olan en son ThinkPhp, sürüm 8.0'a geçmektir.
Akamai ayrıca, bu kampanyanın hedefleme kapsamının geniş olduğunu, hatta ThinkPhP'yi kullanmayan sistemleri etkilediğini, bu da fırsatçı güdüler önerdiğini belirtiyor.
PHP, Windows için tüm sürümleri etkileyen kritik RCE kusurunu düzeltir
Çin hackleme grupları siber casusluk kampanyasında bir araya geliyor
Zyxel, Yaşam Sonu NAS Cihazları için Acil RCE Yaması
Cox, bir API Auth Bypass'ı Milyonlarca Modem'i Saldırılara Durdurarak Düzeltti
Azure Service Etiketleri Güvenlik Riski olarak etiketlendi, Microsoft katılmıyor
Kaynak: Bleeping Computer