Nguyễn Xuân Phúc » An Ninh - Quốc Phòng » Website Trung Quốc bị tấn công qua lỗ hổng framework PHP

(Không gian mạng) - Mã chứng minh khái niệm (Proof of Concept – PoC) dành cho lỗi bảo mật ThinkPHP đã tạo ra một đợt quét mạnh mẽ các website dễ bị tổn thương, và hầu hết chúng ở Trung Quốc. 

Hơn 45.000 website Trung Quốc đang đối mặt với nguy cơ bị tấn công mạng khi “kẻ xấu” tìm cách chiếm quyền truy cập vào máy chủ web.

Chiến dịch nhắm đến những website được xây dựng bằng ThinkPHP, một framework PHP do Trung Quốc phát triển và rất phổ biến trong cộng đồng phát triển web nước này.

Tất cả các vụ tấn công đều bắt đầu sau khi hãng bảo mật Trung Quốc VulnSpy đăng lên một mã khai thác PoC dành cho ThinkPHP trên ExploitDB, một trang web nổi tiếng về lưu trữ mã khai thác miễn phí.thinkphp

Mã PoC này khai thác một lỗ hổng trên phương thức invokeFunction của framework để thực thi mã độc trên máy chủ cơ sở. Lỗ hổng này có thể bị khai thác từ xa, như hầu hết những lỗ hổng trên ứng dụng dựa trên web, cho phép tin tặc chiếm quyền điều khiển máy chủ.

Tấn công bắt đầu chỉ trong vòng 1 ngày

“Mã PoC được công khai vào ngày 11/12, và chúng tôi phát hiện thấy lượng dò quét rộng rãi chỉ trong vòng chưa đầy 24 giờ sau đó”, Troy Mursch, đồng sáng lập của hãng bảo mật Bad Packets LLC nói với ZDNet.

4 hãng bảo mật khác gồm: F5 Labs, GreyNoise, NewSky Security và Trend Micro cũng đã báo cáo phát hiện hoạt động dò quét tương tự, thậm chí tăng mạnh trong các ngày kế tiếp.

Số lượng nhóm tin tặc có tổ chức nhắm vào lỗ hổng ThinkPHP này cũng theo đó tăng lên. Hiện tại, ngoài nhóm tin tặc khởi điểm, còn có một nhóm khác được các chuyên gia gọi là “D3c3mb3r”, và một nhóm lợi dụng lỗ hổng ThinkPHP để phát tán mã độc IoT Miori vào máy chủ.

Nhóm thứ 3 được phát hiện bởi Trend Micro, cho thấy framework ThinkPHP có thể đã được dùng để xây dựng bảng điều khiển (Control Panels) của một số bộ định tuyến gia đình và thiết bị kết nối Internet (IoT), vì mã độc Miori không thể tự chức năng đúng trên máy chủ Linux thực.

Ngoài ra, NewSky Security cũng phát hiện được một đợt dò quét từ nhóm thứ 4 trên những site dựa vào ThinkPHP và nỗ lực tiến hành chạy lệnh Microsoft Powershell.

“Lệnh Powershell này khá kì lạ”, trưởng nhóm nghiên cứu tại NewSky Security, Ankit Anubhav nói. “Chúng thật ra chứa một vài code có nhiệm vụ kiểm tra loại hệ điều hành và chạy mã khai thác khác cho Linux, nhưng chúng cũng chạy lệnh Powershell để thử vận may”.

Tuy nhiên, nhóm lớn nhất khai thác lỗ hổng ThinkPHP là D3c3mb3r. Nhóm này không đặc biệt chỉ tập trung vào trang ThinkPHP, mà dò quét mọi trang PHP.

“Chúng tập trung cao độ vào PHP”, Anubhav nói với ZDNet. “Hầu hết nhắm vào máy chủ web chứ không phải thiết bị IoT”.

Nhưng hiện tại, nhóm này vẫn chưa có động thái gì đặc biệt. Chúng không lây nhiễm máy chủ với mã độc đào tiền ảo hay bất kỳ phần mềm mã độc nào. Chúng chỉ đơn giản là dò quét máy chủ dễ tổn thương, chạy một lệnh căn bản “echo hello d3c3mb3r”, và chỉ có vậy.

“Tôi cũng không chắc về động cơ của chúng”, Anubhav nói.

Hơn 45.000 máy chủ chứa lỗ hổng

Theo một tìm kiếm trên trang Shodan, hiện có hơn 45.800 máy chủ đang chạy một ứng dụng web dựa trên ThinkPHP có thể truy cập trực tuyến. Hơn 40.000 site trong số này được lưu trữ trên địa chỉ IP Trung Quốc, điều này cũng dễ hiểu khi tài liệu ngôn ngữ ThinkPHP chỉ có ở Trung Quốc và hầu như không được dùng bên ngoài quốc gia này.

Điều này cũng lý giải vì sao phần lớn tin tặc tìm kiếm trang web ThinkPHP là người Trung Quốc.

“Cho đến nay, máy chủ duy nhất mà chúng tôi phát hiện dò quét cài đặt ThinkPHP là xuất phát từ Trung Quốc hoặc Nga”, Mursch nói với ZDNet sau khi xem xét dữ liệu liên quan đến nguồn gốc của các đợt dò quét.

Nhưng bạn chẳng cần phải là người Trung Quốc mới khai thác được lỗ hổng trên phần mềm Trung Quốc. Khi ngày càng có nhiều tin tặc biết về cách thức tấn công máy chủ web mới và đơn giản này, các vụ tấn công vào trang web Trung Quốc sẽ còn tăng cao.

Hồng Anh (Lược dịch từ ZDNet)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: