آسیب پذیر بودن وبگاه های PHP میزبانی شده در چین

به گزارش کارگروه حملات سایبری سایبربان؛ به نقل از «zdnet»؛ بر اساس گزارش‌های منتشر شده، در حال حاضر بیش از  45 هزار وبگاه چینی به منظور دسترسی به سرورهای وب، زیر آماج حملات سایبری قرار دارند.

هکرها وبگاه‌هایی را که با استفاده از «ThinkPHP» ایجاد شده‌اند را هدف قرار می‌دهند. بستر ThinkPHPT، چارچوب PHP متن‌باز ساخته شده توسط چین است که در میان توسعه‌دهندگان محلی محبوبیت بالایی دارد.

همه‌ی حملات پس از این که شرکت امنیت سایبری چینی «VulnSpy»، طرح اثبات مفهوم سو استفاده از ThinkPHP را روی وبگاه «ExploitDB» قرار داد، آغاز شدند.

طرح اثبات مفهوم یاد شده به سو استفاده از آسیب‌پذیری موجود در متد «invokeFunction» چارچوب مذکور به منظور اجرای کدهای مخرب در سرور می‌پردازد. از این حفره‌ی امنیتی می‌توان از راه دور بهره‌برداری کرد که امکان کنترل سرور را به هکر می‌دهد.

تروی مارش (Troy Mursch)، مؤسس شرکت «Bad Packets» گفت:

طرح اثبات مفهوم مذکور در تاریخ 11 دسامبر منتشر شد و ما یک اسکن گسترده‌ی اینترنت را در کمتر از 24 ساعت مشاهده کردیم.

4 شرکت امنیت دیگر به نام‌های «F5 Labs»، «GreyNoise»، «NewSky Security» و ترند میکرو نیز به‌طور مشابه، از رشد اقدام یاد شده خبر دادند.

تعداد گروه‌های تهدید سازمان‌یافته که از آسیب‌پذیری جدید ThinkPHP سو استفاده می‌کنند، به طور پیوسته در حال افزایش هستند. در حال حاضر حمله‌کنندگان اصلی وجود دارند. گروهی که متخصصان امنیتی آن را «D3c3mb3r» را می‌نامند و گروهی دیگر، از آسیب‌پذیری یاد شده به منظور آلوده سازی سرورها با بدافزار اینترنت اشیا میوری (Miori IoT) بهره می‌گیرند.

گروه آخر توسط ترند میکرو شناسایی شد. به علاوه متخصصان این شرکت اشاره کردند که چارچوب ThinkPHP، احتمالاً به منظور ایجاد پنل کنترلی برای تعدادی از روترهای خانگی و ابزارهای اینترنت اشیا به کار گرفته شده است؛ زیرا میوری نمی‌تواند در سرورهای واقعی لینوکسی به شکل مناسبی عمل کند.

از طرفی شرکت NewSky گروه چهارمی را که در تلاش بود با اسکن اینترنت، وبگاه‌هایی را که بر پایه ThinkPHP عمل می‌کردند شناسایی کنند را ردیابی کرد. هدف این اجرای فرمان‌های پاورشل مایکروسافت روی بسترهای یاد شده بود.

آنکیت آنوبهاو (Ankit Anubhav)، محقق امنیتی ارشد NewSky گفت:

پاورشل عجیب است. هکرها واقعاً کدهایی دارند که نوع سیستم‌عامل را چک کرده و کدهای مخرب متفاوتی را برای لینوکس اجرا می‌کنند؛ اما آن‌ها پاورشل را نیز اجرا می‌کنند تا شانس خود را بیازمایند.

به اعتقاد کارشناسان، بزرگ‌ترین گروهی از که از آسیب‌پذیری مورد بحث سو استفاده کرده است، D3c3mb3r نام دارد. این گروه تنها روی وبگاه‌های ThinkPHP تمرکز نکرده بود؛ بلکه همه‌ی وبگاه‌های نوشته شده با PHP را اسکن می‌کرد.

آنوبهاو ادامه داد:

شدت عملکرد هکرهای یاد شده روی PHP بسیار بالا بود. آن‌ها غالباً به جای ابزارهای اینترنت اشیا، وب سرورها را جستجو می‌کردند.

با وجود این گروه D3c3mb3r، هنوز اقدام خاصی را انجام نداده است. آن‌ها هیچ سروری را با استخراج‌کننده‌های ارزهای دیجیتالی یا بدافزارهای مختلف آلوده نکرده‌اند؛ بلکه تنها هاست‌های آسیب‌پذیر را اسکن کرده، فرمانی ساده‌ای را تحت «echo hello d3c3mb3r» اجرا کرده‌اند.

کارشناس مذکور افزود:

من در رابطه با انگیزه آن‌ها مطمئن نیستم

با توجه به موتور جستجوگر شودان (Shodan Search)، در حال حاضر بیش از 45 هزار 800 سروری که برنامه‌های کاربردی وب را بر پایه ThinkPHP اجرا می‌کنند، به صورت آنلاین قابل‌دستیابی و آسیب‌پذیر هستند. بیش از 40 هزار عدد از این سرورها توسط آدرس‌های آی پی چینی میزبانی می‌شوند. با توجه به اینکه اسناد یاد شده تنها به زبان چینی در دسترس هستند و احتمالاً در خارج کشور مورد استفاده قرار نگرفته‌اند؛ آسیب‌پذیری یاد شده و خطری که چین را در این زمینه تغییر می‌کند، منطقی به نظر می‌رسد.

به علاوه مسئله‌ی مذکور توضیح می‌دهد که چرا بیشتر هکرها وبگاه‌های ThinkPHP را که اغلب چینی هستند جستجو می‌کنند.

مارش اظهار کرد:

تا این لحظه تنها هاست‌هایی که اسکن‌های نصب ThinkPHP را بررسی می‌کنند، متعلق به چین یا روسیه هستند.

با وجود این نیازی نیست هکرها برای سو استفاده از آسیب‌پذیری نرم‌افزارهای چینی، از شهروندان این کشور باشند. از آنجایی که تعداد گروه‌های هکری که در حال فراگیری روش یاد شده هستند، رو به افزایش است، حمله به وبگاه‌های چینی نیز به شدت افزایش خواهد یافت.

به طور مشابه شرکت «F5 Labs» نیز به تازگی تحلیل فنی خود را از آسیب‌پذیری یاد شده و شیوه‌ی سو استفاده از آن را منتشر کرده است.