Cyberprzestępcy nie próżnują i coraz częściej wykorzystują stare luki w zabezpieczeniach, które – mimo że znane od lat – wciąż nie zostały załatane w wielu systemach. Platforma monitorowania zagrożeń GreyNoise ostrzega, że obecnie trwa intensywna kampania ataków na podatne wersje ThinkPHP oraz ownCloud. Problem dotyczy luk oznaczonych jako CVE-2022-47945 i CVE-2023-49103, które pozwalają hakerom przejąć kontrolę nad serwerami lub wykraść wrażliwe informacje.
Eksploatacja starych podatności
ThinkPHP to popularny framework dla aplikacji PHP, jednak jego starsze wersje zawierają lukę umożliwiającą tzw. LFI (Local File Inclusion). Problem pojawia się w mechanizmie językowym i pozwala nieautoryzowanym osobom na wykonanie dowolnych poleceń w systemie. Jak podkreśla Akamai, hakerzy zaczęli wykorzystywać tę podatność już w 2023 roku, a obecnie obserwuje się gwałtowny wzrost takich prób. GreyNoise podaje, że tylko w ostatnich dniach odnotowano setki unikalnych adresów IP próbujących wykorzystać ten błąd, co świadczy o rosnącej skali zagrożenia. Z kolei ownCloud, popularna platforma do przechowywania i synchronizacji plików, również stała się celem cyberprzestępców. Wykorzystywana luka (CVE-2023-49103) wynika z błędów w obsłudze bibliotek i pozwala na ujawnienie szczegółów konfiguracji środowiska PHP, co może prowadzić do wycieku poufnych danych. FBI, CISA i NSA już wcześniej wskazywały tę podatność jako jedną z najczęściej wykorzystywanych w ubiegłym roku. Mimo to, wiele systemów nadal nie zostało zaktualizowanych, co ułatwia atakującym dostęp do wrażliwych informacji.
Skutki ataków i sposoby ochrony
Konsekwencje udanych ataków mogą być poważne – od przejęcia serwera i wykorzystania go do dalszych działań cyberprzestępczych, po kradzież danych uwierzytelniających administratorów i użytkowników. Hakerzy mogą uzyskać dostęp do haseł, konfiguracji serwerów pocztowych czy kluczy licencyjnych, co otwiera drogę do dalszej eskalacji ataku. Mimo że dostawcy oprogramowania już dawno udostępnili poprawki eliminujące te problemy, duża liczba instancji wciąż pozostaje podatna na ataki. Według GreyNoise, luka w ownCloud jest obecnie aktywnie wykorzystywana przez dziesiątki źródeł na całym świecie, a liczba ataków stale rośnie. Eksperci ds. bezpieczeństwa zalecają natychmiastową aktualizację ThinkPHP do wersji 6.0.14 lub nowszej oraz ownCloud GraphAPI do wersji 0.3.1. Dodatkowo, organizacje powinny rozważyć odseparowanie potencjalnie podatnych systemów od sieci publicznej lub zabezpieczenie ich dodatkowymi warstwami ochrony, takimi jak zapory sieciowe i systemy wykrywania intruzów.
Cyberprzestępcy celują w zapomniane luki
Obserwowana fala ataków przypomina, jak istotne jest regularne aktualizowanie systemów i aplikacji. Nawet jeśli luka została wykryta i załatana lata temu, wciąż może stanowić zagrożenie dla organizacji, które z różnych powodów nie wdrożyły aktualizacji. Cyberprzestępcy chętnie eksplorują takie zaniedbania, wiedząc, że niektóre systemy mogą przez długi czas pozostawać bez zabezpieczeń. Administracja IT powinna traktować aktualizacje jako priorytet i wdrażać je jak najszybciej, zwłaszcza gdy dotyczą znanych luk wykorzystywanych na szeroką skalę. Odpowiednie zarządzanie podatnościami to jeden z najważniejszych elementów skutecznej strategii cyberbezpieczeństwa – jego zaniedbanie może prowadzić do poważnych konsekwencji, zarówno finansowych, jak i wizerunkowych.
