Peningkatan aktivitas peretas telah diamati dalam upaya untuk mengkompromikan perangkat yang tidak terawat dengan buruk yang rentan terhadap masalah keamanan yang lebih tua dari tahun 2022 dan 2023.
Platform Pemantauan Ancaman Greynoise melaporkan lonjakan pada aktor yang memanfaatkan CVE-2022-47945 Dan CVE-2023-49103 Itu memengaruhi kerangka kerja ThinkPHP dan solusi Open-Source OwnCloud untuk berbagi dan menyinkronkan file.
Kedua kerentanan memiliki keparahan kritis dan dapat dieksploitasi untuk menjalankan perintah sistem operasi yang sewenang -wenang atau untuk mendapatkan data sensitif (misalnya kata sandi admin, kredensial server surat, kunci lisensi).
Kerentanan pertama adalah masalah inklusi file lokal (LFI) dalam parameter bahasa kerangka thinkphp sebelum 6.0.14. Penyerang jarak jauh yang tidak terautentikasi dapat memanfaatkannya untuk menjalankan perintah sistem operasi yang sewenang -wenang dalam penyebaran di mana fitur paket bahasa diaktifkan.
Akamai dilaporkan Musim panas lalu bahwa aktor ancaman Cina telah memanfaatkan cacat sejak Oktober 2023 dalam operasi lingkup sempit.
Menurut platform pemantauan ancaman Greynoise, CVE-2022-47945 sedang dalam eksploitasi volume tinggi sekarang, dengan serangan diluncurkan dari semakin banyak sumber IP.
“Greynoise telah mengamati 572 IP unik yang mencoba mengeksploitasi kerentanan ini, dengan aktivitas meningkat dalam beberapa hari terakhir,” memperingatkan buletin.
Ini terlepas dari peringkat 7% prediksi (EPSS) yang rendah eksploitasi dan cacat yang tidak dimasukkan dalam katalog kerentanan CISA yang diketahui dieksploitasi (KEV).
Sumber: Greynoise
Kerentanan kedua mempengaruhi populer Perangkat lunak berbagi file open-source dan muncul dari ketergantungan aplikasi pada pustaka pihak ketiga yang memaparkan rincian lingkungan PHP melalui URL.
Segera setelah kerentanan pengungkapan awal dari pengembang pada November 2023, Peretas mulai mengeksploitasi Ini untuk mencuri informasi sensitif dari sistem yang tidak ditandingi.
Setahun kemudian, CVE-2023-49103 terdaftar oleh FBI, CISA, dan NSA, di antara 15 kerentanan yang paling dieksploitasi tahun 2023.
Meskipun lebih dari 2 tahun telah berlalu sejak vendor merilis pembaruan yang membahas masalah keamanan, banyak contoh tetap tidak ditandingi dan terpapar serangan.
Greynoise mengamati peningkatan eksploitasi CVE-2023-49103 baru-baru ini, dengan aktivitas jahat yang berasal dari 484 IP unik.
Sumber: Greynoise
Untuk melindungi sistem terhadap pengguna eksploitasi aktif disarankan untuk meningkatkan ke ThinkPHP 6.0.14 atau lebih baru, dan ownCloud graphapi ke 0.3.1 dan lebih baru.
Juga disarankan bahwa instance yang berpotensi rentan diambil secara offline atau ditempatkan di belakang firewall untuk mengurangi permukaan serangan.
