image

Criminelen infecteren servers via ThinkPHP-lek met backdoor

maandag 4 februari 2019, 16:07 door Redactie, 11 reacties

Cybercriminelen maken op dit moment gebruik van een kwetsbaarheid in ThinkPHP om Linux-servers met een backdoor te infecteren. Vervolgens wordt er een cryptominer op het systeem geïnstalleerd die de rekenkracht van de server gebruikt voor het delven van de cryptovaluta Monero.

ThinkPHP is een PHP-framework waar allerlei webapplicaties en websites gebruik van maken. De kwetsbaarheid werd in december gepatcht. Toch zijn er nog altijd kwetsbare servers waar de update nog niet is geïnstalleerd. Securitybedrijf Check Point maakt melding van malware genaamd SpeakUp die wordt gebruikt voor het infecteren van deze servers.

Nadat de aanvallers via het ThinkPHP-lek toegang hebben gekregen wordt er een Perl-backdoor op de server uitgevoerd. Vervolgens maken de aanvallers gebruik van oudere kwetsbaarheden in JBoss Enterprise Application Platform, JBoss Seam Framework, JBoss AS 3/4/5/6, Oracle WebLogic, WebLogic Server, Oracle Fusion Middleware, Hadoop YARN en Apache ActiveMQ Fileserver om andere servers in het netwerk van de aangevallen organisatie te infecteren. Als laatste wordt de cryptominer geïnstalleerd.

De meeste besmette servers zijn in Oost-Azië en Latijns-Amerika aangetroffen, zo meldt Threatpost. Onlangs berichtte anti-virusbedrijf Trend Micro dat IoT-malware genaamd Hakai en Yowai, mede gebaseerd op de beruchte Mirai-malware, systemen via de ThinkPHP-kwetsbaarheid probeert binnen te dringen.

Reacties (11)
04-02-2019, 20:22 door Krakatau
ThinkPHP framework | Chinese best practice PHP open source framework, focus on WEB application rapid development for 8 years!

PHP + CMS + Chinees.... #nofurthercomment
04-02-2019, 20:47 door karma4
Door Krakatau: ...PHP + CMS + Chinees.... #nofurthercomment
PHP-framework Perl-backdoor kwetsbaarheden in JBoss .. Hadoop YARN en Apache ActiveMQ Linux-servers
kwetsbaarheid werd in .. gepatcht. De "best practices" fraai ingebracht maar ik ken die als standaard praktijk, niet chinees.
04-02-2019, 22:25 door Krakatau
Door karma4:
Door Krakatau: ...PHP + CMS + Chinees.... #nofurthercomment
niet chinees.

ThinkPHP is Chinees... Zie: https://whatcms.org/c/ThinkPHP. En recent nieuws (Huawei) suggereert dat zij (Chinezen) graag backdoors installeren in producten.
05-02-2019, 06:32 door karma4 - Bijgewerkt: 05-02-2019, 06:41
Door Krakatau:
ThinkPHP is Chinees... Zie: https://whatcms.org/c/ThinkPHP. En recent nieuws (Huawei) suggereert dat zij (Chinezen) graag backdoors installeren in producten.
Er wordt zoveel in China gemaakt, daar lette ik niet op.
Je mag van mij ook naar https://typo3.org/help/security-advisories/ of WordPress. Verbazend dat typo3 en wordpress ook problemen heeft en niet Chinees is. Je zou er wat bij an denken.

Waar ik het over haf:
"Best practices" als management praktijk met het laag hangend fruit de 80/20 regels het is zeer westers.
Zo te zien ook een prachtig verkoopargument. Net zoals het te positieven als grootste in de markt.
05-02-2019, 11:05 door Krakatau - Bijgewerkt: 05-02-2019, 11:06
Door karma4: Er wordt zoveel in China gemaakt, daar lette ik niet op.
Je mag van mij ook naar https://typo3.org/help/security-advisories/ of WordPress. Verbazend dat typo3 en wordpress ook problemen heeft en niet Chinees is. Je zou er wat bij an denken.

Ik denk daarbij dan meteen PHP. Maar dat mag je niet hardop uitspreken...
05-02-2019, 20:19 door karma4
Door Krakatau:
Ik denk daarbij dan meteen PHP. Maar dat mag je niet hardop uitspreken...
Je mag er aan denken, dat wil niet zeggen dat je aannames correct zijn.
In de cve's en mitigaties komen herhaaldelijk deugdelijk beheer zoals bijtijds bijwerken en meerdere lagen in de afscherming voor. Waarom een website alles onder root moet draaien met hoogste rechten is onbegrijpelijk. Met de minste rechten zeer beperkt tot het minimale is verstandiger. Dat zoiets niet "best practices" (de leverancier zegt het) zijn en niet de containerisatie van docker (iedereen doet dat) is nu net het praktische dagelijkse probleem.
06-02-2019, 04:40 door Krakatau
Door karma4:
Door Krakatau:
Ik denk daarbij dan meteen PHP. Maar dat mag je niet hardop uitspreken...
Je mag er aan denken, dat wil niet zeggen dat je aannames correct zijn.

Educated guess...

Door karma4:In de cve's en mitigaties komen herhaaldelijk deugdelijk beheer zoals bijtijds bijwerken en meerdere lagen in de afscherming voor. Waarom een website alles onder root moet draaien met hoogste rechten is onbegrijpelijk.

Alles onder root op een website? Hoe kom je daar nou toch bij? Ervaring uit het jaar nul of zelf ooit een hobby site in de lucht geholpen?

Door karma4: Met de minste rechten zeer beperkt tot het minimale is verstandiger. Dat zoiets niet "best practices" (de leverancier zegt het) zijn

Trap even wat open deuren in ja. Met wat voor leveranciers werk jij? (die dat zouden zeggen).

Door karma4: en niet de containerisatie van docker (iedereen doet dat) is nu net het praktische dagelijkse probleem.

Ik weet niet wat jouw probleem is maar mijn probleem/ervaring is het in ieder geval niet.
06-02-2019, 08:07 door karma4
Krakatau ik weet niet of je ooit grotere en kleinere organisaties van binnenngezien hebt. Het zijn waarneming uit de praktijk.
06-02-2019, 10:00 door Krakatau - Bijgewerkt: 06-02-2019, 10:03
Door karma4: Krakatau ik weet niet of je ooit grotere en kleinere organisaties van binnenngezien hebt. Het zijn waarneming uit de praktijk.

Euh, ja (veel) en nee (dat 'alles onder root' zie je natuurlijk nergens; ken je bv. www-data gebruiker dan echt niet?).
06-02-2019, 10:03 door Krakatau
Door Krakatau:
Door karma4: Krakatau ik weet niet of je ooit grotere en kleinere organisaties van binnenngezien hebt. Het zijn waarneming uit de praktijk.

Euh, ja (veel) en nee (dat 'alles onder root' zie je natuurlijk nergens; ken je bv. de www-data gebruiker dan echt niet?).
06-02-2019, 17:37 door [Account Verwijderd]
Door Krakatau:
Door karma4: Krakatau ik weet niet of je ooit grotere en kleinere organisaties van binnenngezien hebt. Het zijn waarneming uit de praktijk.

Euh, ja (veel) en nee (dat 'alles onder root' zie je natuurlijk nergens; ken je bv. www-data gebruiker dan echt niet?).

Elke realiteitszin ontbreekt bij Karma4, Krakatau. Hij verkoopt constant gekkigheid en onwaarheden om de discussie op gang te houden. Feiten en bewijzen aanleveren zijn hem dan ook vreemd. En als je dieper in gaat op de materie, dan verwijt hij jou "evangelisme" (zijn standaard dooddoener). Maar zelf verdedigt hij zijn wereldbeeld met een fundamentalisme waar je "u" tegen zegt. En als je hem ertoe probeert te bewegen om iets te doen (juist omdat hij het "licht" gezien meent te hebben), dan geeft Karmaatje Vier niet thuis en blijft zijn naald weer hangen in de plaat.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.