Des sites chinois attaqués via un nouveau bug de framework PHP

ZDNet a appris que plus de 45.000 sites Web chinois ont fait l’objet d’attaques massives destinées à accéder à des serveurs Web. Les attaques ont ciblé des sites Web construits avec ThinkPHP, un framework PHP chinois très populaire là bas.

Toutes les attaques ont commencé après que la société chinoise de cybersécurité VulnSpy ait posté une preuve d’exploit pour ThinkPHP sur ExploitDB, un site Web connu pour héberger et mettre à disposition gratuitement du code pour réaliser des exploits.

Le PoC exploite une vulnérabilité dans la méthode invokeFunction du framework pour exécuter un code malveillant sur le serveur. La vulnérabilité est exploitable à distance, comme la plupart des vulnérabilités dans les applications Web, et peut permettre à un attaquant de prendre le contrôle du serveur.

Les attaques ont commencé en moins d’une journée

« Le PoC a été publié le 11 décembre, et nous avons vu des scans sur Internet moins de 24 heures plus tard » a déclaré à ZDNet Troy Mursch, co-fondateur de Bad Packets LLC. Quatre autres sociétés de sécurité – F5 Labs, GreyNoise, NewSky Security et Trend Micro – ont également signalé des évènements similaires, dont l’intensité a augmenté au cours des jours suivants.

Le nombre de hackers exploitant la nouvelle vulnérabilité de ThinkPHP a également augmenté. no trouve désormais en plus des primo attaquants un autre groupe d’experts en sécurité nommé « D3c3mb3r », et un groupe qui utilise la vulnérabilité ThinkPHP pour infecter les serveurs avec le malware Miori IoT.

Ce dernier groupe, détecté par Trend Micro, suggère également que le framework ThinkPHP pourrait avoir été utilisé pour construire des outils de contrôle de certains routeurs domestiques et de périphériques IoT, car Miori ne pourrait pas fonctionner correctement sur des serveurs Linux à l’heure actuelle. De plus, NewSky Security a également détecté un quatrième groupe qui analyse les sites ThinkPHP et tente d’exécuter des commandes Microsoft Powershell.

Ankit Anubhav, chercheur principal en sécurité pour NewSky Security, a déclaré à ZDNet : « Ils ont du code qui vérifie le type d’OS et exécute du code d’exploitation différent pour Linux, mais ils exécutent aussi Powershell juste pour tenter leur chance ».

Mais le plus important de tous les groupes exploitant cette vulnérabilité ThinkPHP est D3c3mb3r. Ce groupe n’est pas particulièrement axé sur ThinkPHP. Ce groupe recherche des failles dans tout ce qui concerne le PHP. « Ils sont très actifs sur le PHP, nous dit Ankit Anubhav. « Ils sont principalement à la recherche de serveurs web et non d’appareils IoT. »

Mais ce groupe, pour l’instant, ne fait rien de particulier. Il n’infecte pas les serveurs avec des mineurs de crypto-monnaie ou avec d’autres malware. Ils recherchent simplement les hôtes vulnérables, exécutent une commande de base « echo hello d3c3mb3r », et c’est tout. « Je ne suis pas sûr de leur mobile » dit Ankit Anubhav.

Plus de 45.000 hôtes vulnérables

Une recherche sur Shodan permet de constater qu’il y a actuellement plus de 45.800 serveurs exécutant une application Web ThinkPHP qui sont accessibles en ligne. Plus de 40.000 d’entre eux sont hébergés sur des adresses IP chinoises, ce qui est logique puisque la documentation de ThinkPHP n’est disponible qu’en chinois, et très probablement pas utilisée à l’étranger.

Cela explique aussi pourquoi la plupart des attaquants à la recherche de sites ThinkPHP sont aussi majoritairement chinois. « Jusqu’à présent, les seuls hôtes que nous avons vus à la recherche d’installations ThinkPHP provenaient de Chine ou de Russie », a déclaré M. Mursch à ZDNet après avoir consulté les données relatives à l’origine de la plupart de ces analyses.

Mais il n’est pas nécessaire d’être chinois pour exploiter une vulnérabilité des logiciels chinois. Au fur et à mesure que de plus en plus de hackers apprendront l’existence de ce nouveau moyen facile de pirater les serveurs Web, les attaques contre les sites chinois vont s’intensifier.

F5 Labs a également publié une analyse technique de la vulnérabilité du ThinkPHP et du fonctionnement du code d’exploitation, ici.

Article « Chinese websites have been under attack for a week via a new PHP framework bug » traduit et adapté par ZDNet.fr

Source

Nous utilisons des cookies pour personnaliser le contenu et les publicités, pour fournir des fonctionnalités de médias sociaux et pour analyser notre trafic. Nous partageons également des informations sur votre utilisation de notre site avec nos partenaires de médias sociaux, de publicité et d'analyse qui peuvent les combiner avec d'autres informations que vous leur avez fournies ou qu'ils ont collectées lors de votre utilisation de leurs services. Vous consentez à nos cookies si vous continuez à utiliser notre site Web.
Cookies settings
Accepter
Privacy & Cookie policy
Privacy & Cookies policy
Cookie name Active

Qui sommes-nous ?

L’adresse de notre site Web est : https://www.banquegratuite.com

Cookies publicitaires Google

Nous utilisons des cookies pour faciliter la diffusion des annonces sur les sites Web de nos partenaires, tels que ceux diffusant des annonces Google ou membres d'un réseau publicitaire agréé par Google. Lorsqu'un utilisateur visite ce type de site, un cookie peut être placé dans son navigateur. Les fournisseurs tiers, y compris Google, utilisent des cookies pour diffuser des annonces en fonction des visites antérieures des internautes sur votre site Web ou sur d'autres pages. Grâce aux cookies publicitaires, Google et ses partenaires adaptent les annonces diffusées auprès de vos visiteurs en fonction de leur navigation sur vos sites et/ou d'autres sites Web. Cliquez ici pour savoir comment Google utilise les informations fournies par les cookies

Utilisation des données personnelles collectées

Commentaires

Quand vous laissez un commentaire sur notre site web, les données inscrites dans le formulaire de commentaire, mais aussi votre adresse IP et l’agent utilisateur de votre navigateur sont collectés pour nous aider à la détection des commentaires indésirables. Une chaîne anonymisée créée à partir de votre adresse de messagerie (également appelée hash) peut être envoyée au service Gravatar pour vérifier si vous utilisez ce dernier. Les clauses de confidentialité du service Gravatar sont disponibles ici : https://automattic.com/privacy/. Après validation de votre commentaire, votre photo de profil sera visible publiquement à coté de votre commentaire.

Médias

Si vous êtes un utilisateur ou une utilisatrice enregistré·e et que vous téléversez des images sur le site web, nous vous conseillons d’éviter de téléverser des images contenant des données EXIF de coordonnées GPS. Les visiteurs de votre site web peuvent télécharger et extraire des données de localisation depuis ces images.

Formulaires de contact

Cookies

Si vous déposez un commentaire sur notre site, il vous sera proposé d’enregistrer votre nom, adresse de messagerie et site web dans des cookies. C’est uniquement pour votre confort afin de ne pas avoir à saisir ces informations si vous déposez un autre commentaire plus tard. Ces cookies expirent au bout d’un an. Si vous avez un compte et que vous vous connectez sur ce site, un cookie temporaire sera créé afin de déterminer si votre navigateur accepte les cookies. Il ne contient pas de données personnelles et sera supprimé automatiquement à la fermeture de votre navigateur. Lorsque vous vous connecterez, nous mettrons en place un certain nombre de cookies pour enregistrer vos informations de connexion et vos préférences d’écran. La durée de vie d’un cookie de connexion est de deux jours, celle d’un cookie d’option d’écran est d’un an. Si vous cochez « Se souvenir de moi », votre cookie de connexion sera conservé pendant deux semaines. Si vous vous déconnectez de votre compte, le cookie de connexion sera effacé. En modifiant ou en publiant une publication, un cookie supplémentaire sera enregistré dans votre navigateur. Ce cookie ne comprend aucune donnée personnelle. Il indique simplement l’ID de la publication que vous venez de modifier. Il expire au bout d’un jour.

Contenu embarqué depuis d’autres sites

Les articles de ce site peuvent inclure des contenus intégrés (par exemple des vidéos, images, articles…). Le contenu intégré depuis d’autres sites se comporte de la même manière que si le visiteur se rendait sur cet autre site. Ces sites web pourraient collecter des données sur vous, utiliser des cookies, embarquer des outils de suivis tiers, suivre vos interactions avec ces contenus embarqués si vous disposez d’un compte connecté sur leur site web.

Statistiques et mesures d’audience

Utilisation et transmission de vos données personnelles

Durées de stockage de vos données

Si vous laissez un commentaire, le commentaire et ses métadonnées sont conservés indéfiniment. Cela permet de reconnaître et approuver automatiquement les commentaires suivants au lieu de les laisser dans la file de modération. Pour les utilisateurs et utilisatrices qui s’enregistrent sur notre site (si cela est possible), nous stockons également les données personnelles indiquées dans leur profil. Tous les utilisateurs et utilisatrices peuvent voir, modifier ou supprimer leurs informations personnelles à tout moment (à l’exception de leur nom d’utilisateur·ice). Les gestionnaires du site peuvent aussi voir et modifier ces informations.

Les droits que vous avez sur vos données

Si vous avez un compte ou si vous avez laissé des commentaires sur le site, vous pouvez demander à recevoir un fichier contenant toutes les données personnelles que nous possédons à votre sujet, incluant celles que vous nous avez fournies. Vous pouvez également demander la suppression des données personnelles vous concernant. Cela ne prend pas en compte les données stockées à des fins administratives, légales ou pour des raisons de sécurité.

Transmission de vos données personnelles

Les commentaires des visiteurs peuvent être vérifiés à l’aide d’un service automatisé de détection des commentaires indésirables.

Save settings
Cookies settings