Akamai Technologiesはこのほど、「2024: Old CVEs, New Targets — Active Exploitation of ThinkPHP|Akamai」において、ThinkPHPの古い脆弱性を悪用するサイバー攻撃のキャンペーンを発見したと報じた。このキャンペーンではThinkPHPを利用しているWebサイトに対しバックドア「Dama Webシェル」を展開するという。

  • 2024: Old CVEs、New Targets — Active Exploitation of ThinkPHP|Akamai

    2024: Old CVEs, New Targets — Active Exploitation of ThinkPHP|Akamai

「ThinkPHP」とは

今回攻撃の対象となった「ThinkPHP」は、中国のオープンソースPHPフレームワーク。モデルビューコントローラー(MVC: Model View Controller)アーキテクチャによるWebアプリケーション開発を支援する。

侵害経路

Akamai Technologiesによると、今回のキャンペーンでは、次の2件の脆弱性が悪用されたという。

  • CVE-2018-20062 - ThinkPHPのApp.phpに任意のPHPコード実行の脆弱性
  • CVE-2019-9082 - ThinkPHPにリモートコード実行(RCE: Remote Code Execution)の脆弱性

攻撃者はこれら脆弱性を利用し、古いThinkPHPが動作しているWebサイトを侵害し、バックドアを設置する。このキャンペーンは2023年10月頃から特定の顧客、組織を標的に開始され、最近になり活動範囲が拡大したとされる。

影響と対策

Akamai Technologiesの調査によると、この攻撃の多くは香港のクラウドプロバイダーの管理下にある複数のサーバから実行されたという。しかしながら、これらサーバにも同じバックドアが設置されていることから、攻撃者はこれらサーバーを踏み台にして攻撃を拡大したものとみられている。

なお、設置されるDama Webシェルには情報窃取、ファイルシステムの操作、データベースの窃取、シェルコマンドの実行、Windowsタスクスケジューラーの操作を介した特権ユーザーの追加機能などがあるとされる。

  • Dama Webシェルの操作画面 - 引用:Akamai Technologies

    Dama Webシェルの操作画面 引用:Akamai Technologies

Akamai Technologiesはこの攻撃を回避するため、ThinkPHPを最新バージョンの8.0以降にアップデートすることを推奨している。しかしながら、ThinkPHPを組み込んでいるすべてのアプリケーションを最新版にアップデートできるとは限らない。そうした場合は、Akamai Technologiesの「Adaptive Security Engine」を備えた「App & API Protector」の導入を推奨している。