Một trang cài đặt PHP bị cấu hình sai đã vô tình làm lộ cơ sở hạ tầng nội bộ của một nền tảng phân phối mã độc đang hoạt động, cho phép một nhà nghiên cứu bảo mật truy cập quản trị viên vào bảng điều khiển của kẻ tấn công. Nội dung này nhấn mạnh tầm quan trọng của việc quản lý cấu hình hệ thống để phòng tránh các lỗ hổng CVE nghiêm trọng.
Cơ sở hạ tầng phân phối mã độc bị lộ
Ban đầu, một trang web tải xuống phần mềm giả mạo hóa ra lại là một hệ thống backend đang hoạt động được sử dụng để phân phối mã độc. Trong quá trình xác thực chỉ số đo đạc về sự xâm nhập (IOC) và kiểm tra web định kỳ, nhiều thư mục nhạy cảm đã được phát hiện, bao gồm một điểm cuối cài đặt bị lộ tại địa chỉ /install/install.php.
Sự hiện diện của trình cài đặt này trên hệ thống sản xuất đang hoạt động là một lỗ hổng bảo mật nghiêm trọng. Ứng dụng PHP thiếu các biện pháp kiểm soát để xác minh xem nó đã được cài đặt hay chưa, cho phép quá trình thiết lập được chạy lại.
Quy trình khai thác lỗ hổng
Sau khi phân tích một tên miền đáng ngờ được chia sẻ, nhà nghiên cứu đã khởi tạo lại ứng dụng bằng cách cấu hình một phiên bản MySQL được kiểm soát và cung cấp chi tiết kết nối cho trình cài đặt. Là một phần của quy trình này, hệ thống đã tạo một lược đồ cơ sở dữ liệu mới và yêu cầu tạo một tài khoản quản trị viên, qua đó cấp quyền truy cập quản trị viên đầy đủ.
Ban đầu, việc truy cập bảng điều khiển gặp lỗi 500 Internal Server Error do sự không nhất quán giữa ứng dụng và cơ sở dữ liệu mới được cấu hình. Tuy nhiên, sau khi kẻ tấn công khôi phục cấu hình backend, nhà nghiên cứu đã truy cập lại mà không cần đăng nhập.
Điều này có thể thực hiện được vì ứng dụng dựa vào việc xử lý phiên phía máy chủ (server-side session) mà không làm mất hiệu lực các phiên hoạt động một cách chính xác. Token phiên đã được cấp trước đó vẫn còn hiệu lực, cho phép truy cập liền mạch vào bảng điều khiển quản trị.
Phân tích nền tảng phân phối mã độc
Phân tích sâu hơn cho thấy nền tảng này là một hệ thống phân phối mã độc tương đối đơn giản nhưng hoạt động hiệu quả. Nó bao gồm một bảng quản trị dựa trên PHP được kết nối với cơ sở dữ liệu MySQL, với bộ nhớ tệp được sử dụng để lưu trữ các gói payload độc hại.
Hệ thống tạo các trang tải xuống động dựa trên tham số URL và sử dụng chuỗi chuyển hướng đa cấp để định tuyến nạn nhân. Trong một số trường hợp, các dịch vụ trung gian đã được sử dụng trước khi chuyển hướng người dùng đến tên miền lưu trữ mã độc cuối cùng, giúp kẻ tấn công tránh bị phát hiện.
Bảng điều khiển quản trị bao gồm các tính năng để quản lý tải xuống, theo dõi hoạt động của khách truy cập và cấu hình cài đặt chiến dịch, cho thấy một hoạt động có cấu trúc thay vì thiết lập lừa đảo cơ bản. Mặc dù có chức năng, cơ sở hạ tầng này vẫn tồn tại các thực tiễn bảo mật yếu kém, đặc biệt là về triển khai và quản lý phiên.
Chỉ số đo đạc về sự xâm nhập (IoCs)
Các chỉ số đo đạc về sự xâm nhập (IoCs) được ghi nhận bao gồm:
- Domains:
micronsoftwares[.]com,wetransfer[.]ICU. - SHA256:
7b03fb383a5ce784a3cb9b0f8a76a84e984d14e553de5d98faff3d07d9793085.
Sự cố này nhấn mạnh cách mà ngay cả cơ sở hạ tầng của các đối tượng đe dọa đang hoạt động cũng có thể bị xâm phạm bởi các cấu hình sai đơn giản. Việc không tắt các tập lệnh cài đặt và thực thi kiểm soát phiên đúng cách đã tạo ra một điểm vào không mong muốn vào hệ thống.
Mặc dù nhà nghiên cứu đã có được quyền truy cập quản trị trong thời gian ngắn, lỗ hổng này sau đó đã được vá bởi các nhà vận hành. Tuy nhiên, cơ sở hạ tầng độc hại vẫn hoạt động và tiếp tục phân phối mã độc. Theo dõi các nguồn tin tức bảo mật uy tín như [NIST National Vulnerability Database](https://nvd.nist.gov/) là cách hiệu quả để cập nhật thông tin về các mối đe dọa mạng mới nhất.
Việc quản lý cấu hình chặt chẽ, bao gồm vô hiệu hóa các tập lệnh cài đặt sau khi triển khai và áp dụng các cơ chế quản lý phiên mạnh mẽ, là yếu tố then chốt để ngăn chặn các loại hình xâm nhập mạng tương tự.
