Explotan una vulnerabilidad de ThinkPHP para propagar malware
- Vulnerabilidades
La vulnerabilidad, que fue parcheada en diciembre, se está utilizando para propagar Yowai y Hakai, dos variantes de Mirai y Gafgyt, que han causado un aumento repentino de ataques e intentos de infección del 11 al 17 de enero. Ambos infectan routers para lanzar ataques DDoS.
|
También puedes leer... Cómo evaluar las opciones de SD-WAN Gestión de cuentas con privilegios para Dummies |
Los ciberdelincuentes están explotando una vulnerabilidad de ThinkPHP, que fue divulgada y parcheada en diciembre de 2018, para la propagación de una botnet mediante una nueva variante de Mirai, que ha sido bautizada como Yowai, y la variante de Gafgyt Hakai. Los ciberdelincuentes utilizan sitios web creados con el framework PHP para hackear los servidores web mediante ataques a credenciales predeterminadas y obtener el control de los routers para la realización de ataques de denegación de servicio distribuidos (DDoS). La telemetría de Trend Micro mostró que estos dos tipos de malware en particular causaron un aumento repentino en los ataques e intentos de infección del 11 al 17 de enero.
Yowai tiene una tabla de configuración que es similar a la de otras variantes de Mirai. Su tabla de configuración agrega el exploit ThinkPHP con otras vulnerabilidades conocidas en su lista de vectores de infección. Yowai usa el puerto 6 para recibir comandos del servidor de comando y control (C&C). Después de que infecta un router, usa un ataque en un intento de infectar otros dispositivos. El router infectado se convierte en parte de una botnet que permite a su operador utilizar los dispositivos para lanzar ataques DDoS.
Al usar una serie de exploits para complementar su ataque, Yowai muestra un mensaje en la consola del usuario una vez que se ejecuta. También hace referencia a una lista de botnets competidoras que erradicará del sistema.
Dado que ThinkPHP es un framework PHP de código abierto gratuito, popular entre los desarrolladores y las empresas por sus funciones simplificadas y facilidad de uso, los ciberdelincuentes pueden abusar de Hakai y Yowai para hackear los servidores web y los sitios web. Y a medida que haya más códigos de botnets disponibles e intercambiados en línea, esperamos ver que incluso las botnets competidoras tienen códigos similares entre sí para lograr aún más intrusiones.
