威胁监测平台 GreyNoise 报告称,越来越多的黑客正试图破坏维护不善的设备。攻击者利用 CVE-2022-47945 和 CVE-2023-49103 攻击 ThinkPHP 框架和开源 ownCloud 文件共享和同步解决方案。
这两个漏洞都具有临界严重性,可以被利用来执行任意操作系统命令或获取敏感数据(例如管理员密码、邮件服务器凭据、许可密钥)。
第一个漏洞是 6.0.14 之前的 ThinkPHP 框架语言参数中的本地文件包含(LFI)问题。未经身份验证的远程攻击者可以利用它在启用了语言包特性的部署中执行任意操作系统命令。
根据威胁监测平台 GreyNoise 的说法,CVE-2022-47945 目前正受到大量利用,攻击的源 ip 越来越多。
该公告警告说:"GreyNoise 已经观察到 572 个独特的 ip 试图利用这个漏洞,并且最近几天活动不断增加。"
尽管它的漏洞预测评分系统(EPSS)评级很低,只有 7%,而且该漏洞没有被包括在 CISA 的已知被利用漏洞(KEV)目录中。
日常开发活动
第二个漏洞影响了流行的开源文件共享软件,它源于应用程序对第三方库的依赖,该库通过 URL 公开了 PHP 环境细节。
在开发者于 2023 年 11 月首次披露该漏洞后不久,黑客就开始利用它从未打补丁的系统中窃取敏感信息。
一年后,CVE-2023-49103 被 FBI、CISA 和 NSA 列为 2023 年被利用最多的 15 个漏洞之一。
尽管自供应商发布解决安全问题的更新以来已经过去了 2 年多,但许多实例仍然未打补丁并暴露在攻击之下。GreyNoise 最近观察到 CVE-2023-49103 的利用增加,恶意活动来自 484 个唯一的 ip。
每天针对 ownCloud 的 ip
为了保护系统免受主动利用,安全研究员建议用户升级到 ThinkPHP 6.0.14 或更高版本,并将 ownCloud GraphAPI 升级到 0.3.1 或更高版本。并建议将潜在易受攻击的实例离线或放置在防火墙后面,以减少攻击面。
