Zes jaar oud ThinkPHP-lek actief gebruikt bij aanvallen

[Captain Kirk]

Aanvallers maken actief misbruik van een bijna zes jaar oude kwetsbaarheid in ThinkPHP, alsmede een uit begin 2019 stammend beveiligingslek in het platform. Dat stelt internetbedrijf Akamai op basis van eigen onderzoek. ThinkPHP is een PHP-framework waar allerlei webapplicaties en websites gebruik van maken. Twee oude kwetsbaarheden in het platform, aangeduid als CVE-2018-20062 en CVE-2019-9082, laten een aanvaller op afstand de onderliggende server overnemen.

De beveiligingslekken spelen bijvoorbeeld bij contentmanagementsystemen die van ThinkPHP gebruikmaken, zoals NoneCMS en BMS. De twee kwetsbaarheden zijn respectievelijk sinds december 2018 en februari 2019 bekend en gepatcht. Ondanks de leeftijd van de beveiligingslekken worden ze nog steeds actief gebruikt bij aanvallen, zo stelt Akamai. Via de kwetsbaarheden installeren de aanvallers een webshell om zo toegang tot de gecompromitteerde server te behouden.

De gecompromitteerde server wordt vervolgens gebruikt voor het uitvoeren van verdere aanvallen. Volgens Akamai laten de aanvallen, die sinds oktober vorig jaar plaatsvinden en sinds kort grootschaliger zijn geworden, het belang van patchmanagement zien, aangezien aanvallers nog steeds met jaren oude kwetsbaarheden succes hebben.

 

bron: https://www.security.nl