Старые баги, новые угрозы: хакеры до сих пор атакуют ThinkPHP и ownCloud
Почему администраторы годами не обновляют уязвимые системы?
В последние месяцы специалисты по кибербезопасности фиксируют рост хакерской активности, направленной на эксплуатацию уязвимостей 2022 и 2023 годов в недостаточно защищённых системах. По данным платформы мониторинга угроз GreyNoise, значительный всплеск атак приходится на уязвимости CVE-2022-47945 и CVE-2023-49103 , затрагивающие фреймворк ThinkPHP и файловый сервис ownCloud.
Обе уязвимости имеют критический уровень опасности. Их эксплуатация позволяет атакующим выполнять произвольные команды в операционной системе или похищать конфиденциальные данные, включая пароли администраторов, учётные данные почтовых серверов и лицензионные ключи.
CVE-2022-47945 представляет собой уязвимость типа Local File Inclusion (LFI) во фреймворке ThinkPHP версий до 6.0.14. Ошибка кроется в параметре языка, который при активированном языковом пакете может быть использован для удалённого выполнения команд без аутентификации. Летом 2024 года эксперты Akamai зафиксировали случаи эксплуатации данной уязвимости китайскими хакерами , а с октября 2023 года активность атак резко возросла. Согласно GreyNoise, на текущий момент зафиксировано уже 572 уникальных IP-адреса, с которых ведутся атаки на CVE-2022-47945.
Вторая уязвимость, CVE-2023-49103, затрагивает платформу ownCloud и связана с уязвимой сторонней библиотекой, позволяющей извлекать переменные окружения PHP через URL. После раскрытия этой уязвимости в ноябре 2023 года злоумышленники начали активно использовать её для похищения данных с незащищённых серверов. Спустя год уязвимость вошла в список 15 наиболее эксплуатируемых уязвимостей 2023 года по версии ФБР, CISA и АНБ. Несмотря на выпуск патча более двух лет назад, множество систем до сих пор не обновлены и остаются уязвимыми для атак.
По данным GreyNoise, в последние дни активность атак на CVE-2023-49103 также увеличилась, а количество уникальных IP-адресов, откуда ведутся атаки, достигло 484.
Специалисты настоятельно рекомендуют администраторам обновить ThinkPHP до версии 6.0.14 или новее, а также установить GraphAPI 0.3.1 для ownCloud. Помимо этого, потенциально уязвимые системы следует изолировать от сети или разместить за файрволом, чтобы снизить вероятность успешных атак.