Akamai, hat eine neue Angriffs-Kampagne entdeckt. Diese zielt auf Anwendungen des chinesischen Open-Source-Frameworks ThinkPHP ab, die anfällig für die Schwachstellen CVE-2018-20062 und CVE-2019-9082 sind. Die Kampagne wird mutmaßlich von einer chinesisch-sprachigen Gruppe orchestriert. Die Bedrohungsakteure haben mit den Angriffen vermutlich im vergangenen Oktober begonnen. Die Attacken richteten sich zunächst gegen eine begrenzte Anzahl von Einrichtungen. Sie wurde vor kurzem ausgeweitet und gingen von verschiedenen IP-Adressen aus, die mit Servern des Cloud-Anbieters „Zenlayer“ (ASN 21859) verbunden sind und sich hauptsächlich in Hongkong befinden. Die jüngsten Angriffe verdeutlichen den anhaltenden Trend, dass Angreifer eine vollwertige Web-Shell nutzen, die für eine erweiterte Kontrolle der Opfer konzipiert ist. Interessanterweise setzten nicht alle angegriffenen Kunden ThinkPHP ein. Das deutet darauf hin, dass die Angreifer wahllos ein breites Spektrum von Systemen angreifen.
Wie läuft ein Angriff ab?
Der Exploit versucht zusätzlichen verschleierten Code von einem anderen kompromittierten ThinkPHP-Server abzurufen. Wenn der Einstieg gelingt, installieren die Angreifer eine chinesisch-sprachige Webshell namens „Dama“ und erhalten so dauerhaften Zugriff auf den Server. Bei den nachfolgenden Aktionen breiten sich die Akteure im Rechenzentrum des Opfers weiter aus oder verwenden den Server für die Infrastruktur des Angriffs. Diese Vorgehensweise zeigt einen aktuellen Trend: Angreifer nutzen bekannte, teilweise mehrere Jahre alte Schwachstellen mit Erfolg aus. Die ThinkPHP-Schwachstellen CVE-2018-20062 und CVE-2019-9082 zur Remotecodeausführung sind dabei nur zwei Beispiele. Wie an den CVE-Namen erkennbar, sind diese Schwachstellen seit mindestens 2018 im Umlauf.
Wie kann ein Angriff verhindert werden?
Die Akamai-Forscher raten dringend, ThinkPHP auf die neueste Version (derzeit 8.0) zu aktualisieren. Da es schwierig ist, alle Assets zu identifizieren, die für diese CVE anfällig sein könnten, und das Patchen selbst keine praktikable Option ist, empfehlen sie die Implementierung von App&API Protector mit seiner Adaptive Security Engine. Dadurch werden die Risiken reduziert. Die Gruppenaktion „Web Platform Attack“ sollte auf „Deny“ konfiguriert sein, um den Schutz zu erhöhen. Alternativ können Kunden die Einzelregel 3000189 auf „Ablehnen“ setzen. Mehr Informationen finden Sie unter diesem Link.