Hackers explotan activamente la vulnerabilidad de ejecución remota de código ThinkPHP parcheada para obtener control sobre los servidores web.
Trend Micro observó la nueva campaña en la que los ciberdelincuentes explotaban la vulnerabilidad de ThinkPHP para expandir los Botnets Hakai y Yowai.
En esta amenaza de campaña, los actores utilizaron botnets para violar los sitios web que utilizan la vulnerabilidad en el método de invocación de marco para ejecutar código malicioso en el servidor.
"Los delincuentes cibernéticos utilizan sitios web creados con el marco de PHP para violar los servidores web mediante ataques de diccionario en las credenciales predeterminadas y obtener el control de estos enrutadores para los ataques de denegación de servicio distribuidos (DDoS)", segun la publicación del blog de Trend Micro.
Según los investigadores, la botnet Yowai tiene la misma tabla de configuración que las variantes de Mirai y, además, agrega el exploit ThinkPHP con otros vectores.
Yowai realiza comunicación con el servidor de comando y control a través del puerto 6 para recibir comandos y una vez que infecta el enrutador, lanza un ataque de diccionario para infectar otros dispositivos.
Todos los dispositivos infectados se convierten en parte de la red de bots y los actores de amenazas usan la red de bots para iniciarse. altamente ataques DDoS intensivos.
Junto con la vulnerabilidad de ThinkPHP, Yowai explota las siguientes vulnerabilidades que incluyen CVE-2014-8361 , un Linksys RCE , CVE-2018-10561 , CCTV-DVR RCE.
La botnet Hakai anteriormente solo apunta a dispositivos IoT, en esta nueva campaña agrega un númerode vulnerabilidades como ThinkPHP, enrutador D-Link DSL-2750B, CVE-2015-2051 , CVE-2014-8361 y CVE-2017-17215.
Los investigadores citaron que Hakai y Yowai pueden ser abusados fácilmente por los cibercriminales para violar los servidores web y atacar sitios web.
Fecha actualización el 2021-01-28. Fecha publicación el 2019-01-28. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: gbhackers