هکرها برای یافتن  آسیب‌پذیری به‌طور گسترده‌ای در پی پایش و اسکن ThinkPHP هستند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، عوامل مخرب در حال اسکن گسترده برای یافتن سیستم‌های آسیب‌پذیر نسبت به نقص اجرای کد راه دور در فریم‌ورک ThinkPHP هستند. ThinkPHP، یک فریم‌ورک وب و محصول توسعه‌دهنده چینی TopThink است که توسط تعداد زیادی از توسعه‌دهندگان وب استفاده می‌شود. در اوایل ماه دسامبر ۲۰۱۸، مشخص شد که این فریم‌ورک دارای آسیب‌پذیری اجرای کد از راه دور است که این امکان را برای مهاجم فراهم می‌کند تا سرور آسیب‌پذیر را تحت ‌کنترل گیرد.

نقص اصلی در عدم اعتبارسنجی مناسب ورودی کاربر است که از این طریق کاربر احراز هویت‌نشده و غیرمجاز می‌تواند تابع فیلتر دلخواه خود را اجرا کند. این آسیب‌پذیری با شناسه CVE-۲۰۱۸-۲۰۰۶۲ معرفی شده و بلافاصله پس انتشار عمومی کد اثبات مفهومی (PoC) آن در روز ۱۱ دسامبر، هدف حملات قرار گرفت. پژوهشگران امنیتی در عرض چند روز متوجه افزایش اسکن‌های عوامل مخرب برای یافتن این آسیب‌پذیری شدند.

در حال حاضر، بررسی گسترده‌ای برای یافتن آسیب‌پذیری ThinkPHP در جریان است و عاملان متعددی از این نقص برای نصب بات‌های بدافزاری استفاده کرده‌اند. بدنه‌های (payload) شناسایی ‌شده که توسط این آسیب‌پذیری منتقل می‌شوند شامل در پشتی shell‌ وب، نرم‌افزارهای استخراج ارز دیجیتال و بدافزارهایی با قابلیت DDoS، اسپم، فیشینگ و توانایی استخراج داده و ابزار‌های واکاوی اطلاعات حساس ویندوز هستند.

به گفته پژوهشگران Akamai، میزان ترافیک اسکن آسیب‌پذیری، بسیار زیاد است. علاوه‌‌بر این، روش‌های بسیاری برای پنهان‌شدن فعالیت‌های مخرب وجود دارد و مجرمان سایبری نگران اثرات باقی‌مانده از خود نیستند. در حال حاضر، هدف اصلی مجرمان اجرای دستور دلخواه به‌عنوان یک کاربر در هر نوع سیستم، به منظور گسترش یک بات‌نت، توزیع بدافزار یا استخراج ارز دیجیتال است.