{"id":1080,"date":"2024-06-06T14:19:00","date_gmt":"2024-06-06T12:19:00","guid":{"rendered":"https:\/\/www.lan-wan-telecom.de\/?p=1080"},"modified":"2024-06-06T14:19:00","modified_gmt":"2024-06-06T12:19:00","slug":"alte-cve-neue-ziele-akamai-forscher-entdecken-ausnutzung-von-thinkphp","status":"publish","type":"post","link":"https:\/\/www.lan-wan-telecom.de\/index.php\/2024\/06\/06\/alte-cve-neue-ziele-akamai-forscher-entdecken-ausnutzung-von-thinkphp\/","title":{"rendered":"Alte CVE, neue Ziele: Akamai-Forscher entdecken Ausnutzung von ThinkPHP"},"content":{"rendered":"<p>Akamai, hat eine neue Angriffs-Kampagne entdeckt. Diese zielt auf Anwendungen des chinesischen Open-Source-Frameworks ThinkPHP ab, die anf\u00e4llig f\u00fcr die Schwachstellen CVE-2018-20062 und CVE-2019-9082 sind. Die Kampagne wird mutma\u00dflich von einer chinesisch-sprachigen Gruppe orchestriert.\u00a0Die Bedrohungsakteure haben mit den Angriffen vermutlich im vergangenen Oktober begonnen. Die Attacken richteten sich zun\u00e4chst gegen eine begrenzte Anzahl von Einrichtungen. Sie wurde vor kurzem ausgeweitet und gingen von verschiedenen IP-Adressen aus, die mit Servern des Cloud-Anbieters \u201eZenlayer\u201c (ASN 21859) verbunden sind und sich haupts\u00e4chlich in Hongkong befinden. Die j\u00fcngsten Angriffe verdeutlichen den anhaltenden Trend, dass Angreifer eine vollwertige Web-Shell nutzen, die f\u00fcr eine erweiterte Kontrolle der Opfer konzipiert ist. Interessanterweise setzten nicht alle angegriffenen Kunden ThinkPHP ein. Das deutet darauf hin, dass die Angreifer wahllos ein breites Spektrum von Systemen angreifen.<\/p>\n<h4>Wie l\u00e4uft ein Angriff ab?<\/h4>\n<p>Der Exploit versucht zus\u00e4tzlichen verschleierten Code von einem anderen kompromittierten ThinkPHP-Server abzurufen. Wenn der Einstieg gelingt, installieren die Angreifer eine chinesisch-sprachige Webshell namens \u201eDama\u201c und erhalten so dauerhaften Zugriff auf den Server. Bei den nachfolgenden Aktionen breiten sich die Akteure im Rechenzentrum des Opfers weiter aus oder verwenden den Server f\u00fcr die Infrastruktur des Angriffs.\u00a0Diese Vorgehensweise zeigt einen aktuellen Trend: Angreifer nutzen bekannte, teilweise mehrere Jahre alte Schwachstellen mit Erfolg aus. Die ThinkPHP-Schwachstellen CVE-2018-20062 und CVE-2019-9082 zur Remotecodeausf\u00fchrung sind dabei nur zwei Beispiele. Wie an den CVE-Namen erkennbar, sind diese Schwachstellen seit mindestens 2018 im Umlauf.<\/p>\n<h4>Wie kann ein Angriff verhindert werden?<\/h4>\n<p>Die Akamai-Forscher raten dringend, ThinkPHP auf die neueste Version (derzeit 8.0) zu aktualisieren. Da es schwierig ist, alle Assets zu identifizieren, die f\u00fcr diese CVE anf\u00e4llig sein k\u00f6nnten, und das Patchen selbst keine praktikable Option ist, empfehlen sie die Implementierung von App&amp;API Protector mit seiner Adaptive Security Engine. Dadurch werden die Risiken reduziert. Die Gruppenaktion \u201eWeb Platform Attack\u201c sollte auf \u201eDeny\u201c konfiguriert sein, um den Schutz zu erh\u00f6hen. Alternativ k\u00f6nnen Kunden die Einzelregel 3000189 auf \u201eAblehnen\u201c setzen.\u00a0Mehr Informationen finden Sie unter diesem <a href=\"https:\/\/www.akamai.com\/blog\/security-research\/2024-thinkphp-applications-exploit-1-days-dama-webshell\" target=\"_blank\" rel=\"noopener\">Link<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Akamai, hat eine neue Angriffs-Kampagne entdeckt. Diese zielt auf Anwendungen des chinesischen Open-Source-Frameworks ThinkPHP ab, die anf\u00e4llig f\u00fcr die Schwachstellen CVE-2018-20062 und CVE-2019-9082 sind. Die Kampagne wird mutma\u00dflich von einer chinesisch-sprachigen Gruppe orchestriert.\u00a0Die Bedrohungsakteure haben mit den Angriffen vermutlich im vergangenen Oktober begonnen. Die Attacken richteten sich zun\u00e4chst gegen eine begrenzte Anzahl von Einrichtungen. Sie [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,11],"tags":[],"class_list":["post-1080","post","type-post","status-publish","format-standard","hentry","category-networks","category-security"],"_links":{"self":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1080","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/comments?post=1080"}],"version-history":[{"count":1,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1080\/revisions"}],"predecessor-version":[{"id":1081,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/posts\/1080\/revisions\/1081"}],"wp:attachment":[{"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/media?parent=1080"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/categories?post=1080"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lan-wan-telecom.de\/index.php\/wp-json\/wp\/v2\/tags?post=1080"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}