ThinkPHPのリモートコード実行の脆弱性、さまざまなマルウェアの侵入に悪用される（CVE-2018-20062）

中国のオープンソースフレームワーク、ThinkPHPのリモートコード実行のバグは、主にモノのインターネット（IoT）デバイスを標的にして、さまざまなマルウェアを埋め込むために攻撃者によって積極的に使用されています。

背景

この数ヶ月間、攻撃者は中国のオープンソースPHPフレームワークであるThinkPHPのリモートコード実行（RCE）の脆弱性、CVE-2018-20062を悪用して、さまざまなマルウェアを埋め込んでいます。この脆弱性のパッチは、2018年12月9日に当てられましたが、概念実証（PoC）は12月11日にExploitDBに公開されました。

分析

研究者らの観察によると、PoCの発表後間もなく、攻撃者によるThinkPHPの脆弱なバージョンのスキャンが上昇しました。12月20日、Trend Micro社は、CVE-2018-20062を使用して拡散するMioriという新しいIoTボットネットに関するブログを公開しました。Trend Microの研究者によると、IZ1H9およびAPEPとして知られるIoTマルウェアも、感染経路として同じ脆弱性を悪用し始めました。

2019年1月、Akamaiのセキュリティチームは、この脆弱性がIoTマルウェアを埋め込むための攻撃に使用されるだけでなく、暗号通貨マイナーやWindowsマルウェアの拡散にも使用されていることを発見しました。Trend Microは、1月25日、HakaiとYowaiとして知られているIoTマルウェアによるこの脆弱性の悪用方法を詳述する別のブログを投稿しました。

2月4日、Check Pointの研究者らは、SpeakUpとして知られるバックドア型トロイの木馬を埋め込むためのシステムを標的とする攻撃における初期の感染ベクトルとしてThinkPHPを挙げました。

2018年12月にパッチが適用されたにもかかわらず、CVE-2018-20062はIoTマルウェアをシステムに埋め込もうとしている攻撃者にとって頻繁に悪用される脆弱性です。この脆弱性は、暗号通貨マイナーやトロイの木馬などの他の種類のマルウェアの拡散にも悪用されていることが確認されています。システムにパッチが適用されていない場合、この脆弱性は引き続き攻撃者に悪用されることが予想されます。

ソリューション

この脆弱性に対するパッチは、ThinkPHP バージョン5.0.23、および、5.1.31で適用されています。 ユーザーには新しいバージョンのフレームワークにアップグレードすることが強く推薦されます。

影響を受けているシステムの特定

これらの脆弱性を検出するNessusプラグインは、こちらからご覧いただけます。

詳細情報

• 米国立標準技術研究所（NIST）による脆弱性データベース：CVE-2018-20062
• PoC: ThinkPHP 5.x < v5.0.23,v5.1.31リモートコード実行
• Miraiの次はMiori：IoTボットネット、ThinkPHPのリモートコード実行の脆弱性を悪用して配信される
• ThinkPHPの脆弱性、実世界の攻撃に積極的に利用される
• ThinkPHPの脆弱性、ボットネットHakaiおよびYowaiに悪用される
• SpeakUp：検出されない新しいバックドア型Linuxトロイの木馬

Tenable コミュニティの Tenable セキュリティレスポンスチームに参加してみませんか。

現代のアタックサーフェスを総合的に管理する Cyber Exposure Platform を初めて提供した Tenable について詳細情報をご覧ください。

今すぐ Tenable.io Vulnerability Management の60日間無料トライアルをお試しください。