تستهدف جهات التهديد الصينية تطبيقات ThinkPHP المعرضة لـ CVE-2018-20062 وCVE-2019-9082 لتثبيت غلاف ويب مستمر يسمى Dama.
يتيح غلاف الويب مزيدًا من الاستغلال لنقاط النهاية المخترقة، مثل إدراجها كجزء من البنية التحتية للمهاجمين لتجنب الكشف في العمليات اللاحقة.
وتعود العلامات الأولى لهذا النشاط إلى أكتوبر 2023، لكن بحسب أكاماي من قبل المحللين الذين يراقبون ذلك، توسع النشاط الخبيث وكثفه مؤخرًا.
استهداف نقاط الضعف القديمة
ThinkPHP هو إطار عمل لتطوير تطبيقات الويب مفتوح المصدر ويحظى بشعبية خاصة في الصين.
CVE-2018-20062تم إصلاحها في ديسمبر 2018، وهي مشكلة تم اكتشافها في برنامج NonCMS 1.3، مما يسمح للمهاجمين عن بعد بتنفيذ تعليمات برمجية PHP عشوائية من خلال الاستخدام المتقن لمعلمة التصفية.
CVE-2019-9082 التأثيرات ThinkPHP 3.2.4 والإصدارات الأقدم، المستخدمة في Open Source BMS 1.1.1، هي مشكلة تنفيذ أوامر عن بعد تمت معالجتها في فبراير 2019.
يتم الاستفادة من العيبين في هذه الحملة لتمكين المهاجمين من تنفيذ التعليمات البرمجية عن بعد، مما يؤثر على أنظمة إدارة المحتوى الأساسية (CMS) على نقاط النهاية المستهدفة.
على وجه التحديد، يستغل المهاجمون الأخطاء لتنزيل ملف نصي يسمى “public.txt”، وهو في الواقع عبارة عن غلاف ويب Dama المبهم والمحفوظ باسم “roeter.php”.
يتم تنزيل الحمولة من خوادم مخترقة موجودة في هونغ كونغ وتزود المهاجمين بالتحكم عن بعد في الخادم باتباع خطوة مصادقة بسيطة باستخدام كلمة المرور “admin”.
يقول Akamai إن الخوادم التي تقوم بتوصيل الحمولات مصابة بنفس غلاف الويب، لذلك يبدو أن الأنظمة المخترقة قد تحولت إلى عقد في البنية التحتية للمهاجم.
قذيفة الويب داما
يتمتع Dama بقدرات متقدمة تمكن الجهات الفاعلة في مجال التهديد من التنقل في نظام الملفات على الخادم المخترق، وتحميل الملفات، وجمع بيانات النظام، مما يساعد بشكل أساسي في تصعيد الامتيازات.
يمكنه أيضًا إجراء فحص لمنفذ الشبكة والوصول إلى قواعد البيانات وتجاوز وظائف PHP المعطلة لتنفيذ أمر shell.
أحد الإغفالات الملحوظة من قدرات داما هو الافتقار إلى واجهة سطر الأوامر، والتي من شأنها أن تسمح للجهات الفاعلة في مجال التهديد باتباع نهج عملي أكثر في تنفيذ الأوامر.
يشير Akamai إلى أن هذه الوظيفة المفقودة ملحوظة نظرًا لوظائف Dama الواسعة.
تخفيف
يعد استغلال العيوب القديمة بمثابة تذكير آخر بالمشكلة المستمرة المتمثلة في سوء إدارة الثغرات الأمنية، حيث يستفيد المهاجمون، في هذه الحالة، من الثغرات الأمنية التي تم تصحيحها منذ وقت طويل.
الإجراء الموصى به للمؤسسات التي يحتمل أن تتأثر هو الانتقال إلى أحدث إصدار من ThinkPHP، الإصدار 8.0، وهو آمن ضد أخطاء تنفيذ التعليمات البرمجية عن بعد المعروفة.
ويشير Akamai أيضًا إلى أن نطاق الاستهداف لهذه الحملة واسع، حتى أنه يؤثر على الأنظمة التي لا تستخدم ThinkPHP، مما يشير إلى دوافع انتهازية.