Akamai Technologiesはこのほど、「2024: Old CVEs, New Targets — Active Exploitation of ThinkPHP|Akamai」において、ThinkPHPの古い脆弱性を悪用するサイバー攻撃のキャンペーンを発見したと報じた。このキャンペーンではThinkPHPを利用しているWebサイトに対しバックドア「Dama Webシェル」を展開するという。
-
2024: Old CVEs, New Targets — Active Exploitation of ThinkPHP|Akamai
「ThinkPHP」とは
今回攻撃の対象となった「ThinkPHP」は、中国のオープンソースPHPフレームワーク。モデルビューコントローラー(MVC: Model View Controller)アーキテクチャによるWebアプリケーション開発を支援する。
侵害経路
Akamai Technologiesによると、今回のキャンペーンでは、次の2件の脆弱性が悪用されたという。
- CVE-2018-20062 - ThinkPHPのApp.phpに任意のPHPコード実行の脆弱性
- CVE-2019-9082 - ThinkPHPにリモートコード実行(RCE: Remote Code Execution)の脆弱性
攻撃者はこれら脆弱性を利用し、古いThinkPHPが動作しているWebサイトを侵害し、バックドアを設置する。このキャンペーンは2023年10月頃から特定の顧客、組織を標的に開始され、最近になり活動範囲が拡大したとされる。
影響と対策
Akamai Technologiesの調査によると、この攻撃の多くは香港のクラウドプロバイダーの管理下にある複数のサーバから実行されたという。しかしながら、これらサーバにも同じバックドアが設置されていることから、攻撃者はこれらサーバーを踏み台にして攻撃を拡大したものとみられている。
なお、設置されるDama Webシェルには情報窃取、ファイルシステムの操作、データベースの窃取、シェルコマンドの実行、Windowsタスクスケジューラーの操作を介した特権ユーザーの追加機能などがあるとされる。
-
Dama Webシェルの操作画面 引用:Akamai Technologies
Akamai Technologiesはこの攻撃を回避するため、ThinkPHPを最新バージョンの8.0以降にアップデートすることを推奨している。しかしながら、ThinkPHPを組み込んでいるすべてのアプリケーションを最新版にアップデートできるとは限らない。そうした場合は、Akamai Technologiesの「Adaptive Security Engine」を備えた「App & API Protector」の導入を推奨している。
