请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册

QQ登录

只需要一步,快速开始

搜索
开启左侧

Thinkphp曝远程代码执行漏洞创宇盾率先发现漏洞并展开应急响应 ...

马上注册,分享更多源码,享用更多功能,让你轻松玩转云大陆。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
2018年12月10日,ThinkPHP 官方发布《ThinkPHP 5.* 版本安全更新》,修复了一个远程代码执行漏洞。由于 ThinkPHP 框架对控制器名没有进行足够的检测,导致攻击者可能可以实现远程代码执行。知道创宇404实验室漏洞情报团队第一时间展开漏洞应急,复现了该漏洞,并进行深入分析。
在ThinkPHP官方发布更新前,知道创宇云安全的日志中,已检测到62次漏洞利用请求。在官方发布安全更新后,利用该漏洞的攻击行为数量激增,漏洞被广泛利用,在官方发布安全更新的8天时间里(12.09—12.17),共检测到5570个IP对486962个网站发起了2566078次攻击。并已有僵尸网络将该漏洞exp整合到恶意样本中,并在互联网上传播。

△9月3日,创宇盾检测到ip 58.49.*.*(湖北武汉)对某网站发起攻击


△10月16日,创宇盾监测到该ip又对另一网站发起攻击

404实验室经过一系列测试和源码分析,最终确定漏洞影响版本为:ThinkPHP 5.0.5-5.0.22和ThinkPHP 5.1.0-5.1.30。在漏洞曝光后的第一时间,知道创宇404实验室积极排查知道创宇云安全的相关日志,发现该漏洞最早从 2018年9月开始,尚处于 0day 阶段时就已经被用于攻击多个虚拟货币类、金融类网站。
vt72BagrbyHcPFrp.jpg

大量政府网站使用该框架,境外黑客势利已经开始精准攻击

漏洞披露一周后,从云安全阻拦以及404实验室部署的蜜罐捕获结果来看,该漏洞曝光后短短8天就被僵尸网络整合到恶意样本中,并可以通过蠕虫的方式在互联网中传播,该漏洞触发方式简单、危害巨大。如下图:
kzFGxG0GAkfOQSQu.jpg

△共5570个IP对486962个网站发起2566078次攻击

据404实验室详情,本次能够迅速掌握该漏洞的相关情况和影响,第一时间着手展开漏洞应急和复现,得益于创宇盾的大力协助。创宇盾最早于2018年9月就发现了该漏洞,并捕获了该漏洞的攻击样本,为404实验室进一步对海量的攻击数据进行抽丝剥茧、分析取证提供了强大助力。
创宇盾是基于大数据及云计算技术的一站式网站防护平台,以SaaS方式为客户提供Web网站的快速接入及专业化防护,在全国部署了数十个云计算中心,储备了数T的防御带宽,让客户零部署、零维护轻松拥有抵御XSS、CSRF(跨站请求伪造)、SQL注入、木马、Webshell、0day漏洞攻击等各类Web攻击的能力。
据详情,创宇盾不同于传统的被动防御的防御方式,率先采用新型“塔防式”的防御方式,通过层层部署防御措施,添加攻击成本等方式,真正达到对重要资产的有效保护。在有效抵御恶意扫描、SQL注入等多种网络攻击外,还能够提前预知大规模漏洞危机并积极防御。 创宇盾曾多次为国家级重要会议、重要活动提供安全保障工作,在防护期间,由“创宇盾”提供防护的网站至今无一例被黑事件发生。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

广告招商