威脅監(jiān)測平臺(tái)GreyNoise報(bào)告稱，越來越多的黑客正試圖破壞維護(hù)不善的設(shè)備。攻擊者利用CVE-2022-47945和CVE-2023-49103攻擊ThinkPHP框架和開源ownCloud文件共享和同步解決方案。

這兩個(gè)漏洞都具有臨界嚴(yán)重性，可以被利用來執(zhí)行任意操作系統(tǒng)命令或獲取敏感數(shù)據(jù)（例如管理員密碼、郵件服務(wù)器憑據(jù)、許可密鑰）。

第一個(gè)漏洞是6.0.14之前的ThinkPHP框架語言參數(shù)中的本地文件包含（LFI）問題。未經(jīng)身份驗(yàn)證的遠(yuǎn)程攻擊者可以利用它在啟用了語言包特性的部署中執(zhí)行任意操作系統(tǒng)命令。

根據(jù)威脅監(jiān)測平臺(tái)GreyNoise的說法，CVE-2022-47945目前正受到大量利用，攻擊的源ip越來越多。

該公告警告說：“GreyNoise已經(jīng)觀察到572個(gè)獨(dú)特的ip試圖利用這個(gè)漏洞，并且最近幾天活動(dòng)不斷增加?！?/p>

盡管它的漏洞預(yù)測評(píng)分系統(tǒng)（EPSS）評(píng)級(jí)很低，只有7%，而且該漏洞沒有被包括在CISA的已知被利用漏洞（KEV）目錄中。

日常開發(fā)活動(dòng)

第二個(gè)漏洞影響了流行的開源文件共享軟件，它源于應(yīng)用程序?qū)Φ谌綆斓囊蕾嚕搸焱ㄟ^URL公開了PHP環(huán)境細(xì)節(jié)。

在開發(fā)者于2023年11月首次披露該漏洞后不久，黑客就開始利用它從未打補(bǔ)丁的系統(tǒng)中竊取敏感信息。

一年后，CVE-2023-49103被FBI、CISA和NSA列為2023年被利用最多的15個(gè)漏洞之一。

盡管自供應(yīng)商發(fā)布解決安全問題的更新以來已經(jīng)過去了2年多，但許多實(shí)例仍然未打補(bǔ)丁并暴露在攻擊之下。GreyNoise最近觀察到CVE-2023-49103的利用增加，惡意活動(dòng)來自484個(gè)唯一的ip。

每天針對ownCloud的ip

為了保護(hù)系統(tǒng)免受主動(dòng)利用，安全研究員建議用戶升級(jí)到ThinkPHP 6.0.14或更高版本，并將ownCloud GraphAPI升級(jí)到0.3.1或更高版本。并建議將潛在易受攻擊的實(shí)例離線或放置在防火墻后面，以減少攻擊面。

參考及來源：https://www.bleepingcomputer.com/news/security/surge-in-attacks-exploiting-old-thinkphp-and-owncloud-flaws/