新闻资讯

首页

2024

LockBit勒索团伙被端，这个PHP漏洞立大功（利用原理速览）

来源：

据英国国家犯罪调查局（NCA）消息，在英美等国联合发起的“克罗诺斯行动（Operation Cronos）”中，执法人员成功渗透并控制了LockBit勒索家族服务器及网站，获得超1000个解密密钥，并冻结了200多个与该勒索家族相关的加密货币账户，同时还分别在波兰、乌克兰逮捕两名LockBit勒索家族成员。

LockBit是全球最臭名昭著的勒索家族。据公开数据统计，LockBit自2019年首次亮相至今，对全球1700多个组织、机构或企业发起过勒索攻击。LockBit勒索家族近期攻击成功的目标包括美国波音公司、芯片巨头台积电、半导体巨头鸿海集团旗下京鼎精密科技股份有限公司等。

然而比较有意思的是，频频使用漏洞对全球组织机构发起攻击的LockBit自己也栽在漏洞上。据国外媒体消息，NCA执法人员通过利用一个编号为CVE-2023-3824的PHP漏洞，成功渗透并控制了LockBit家族支撑RaaS运行的服务器，由此获得包括解密秘钥、加密货币账户等情报。

促成LockBit网站被踹的“功臣”——CVE-2023-3824是一个PHP溢出漏洞，成功利用该漏洞可实现RCE效果。目前国外论坛有披露此漏洞利用的部分细节，但并不完整，无法得知利用过程全貌。为防止其他网络攻击者利用此漏洞，微步情报局漏洞分析专家通过集合这些信息，推测出此漏洞的利用原理：

CVE-2023-3824的漏洞原理是，PHP对Phar文件进行处理时，由于对相关数据结构的长度判断不当，从而造成缓冲区溢出。结合国外论坛透露的信息来看，NCA至少使用了两个漏洞形成漏洞利用链，除了CVE-2023-3824外，应该还利用了一个文件上传漏洞，以便将Phar文件上传到服务器中。

如果是文件上传+PHP溢出漏洞组合的话，那其攻击过程大致如下：

NCA等执法人员利用未知的文件上传漏洞上传精心构造的Phar文件到LockBit服务器；

由于LockBit服务中存在遍历目录的逻辑（如下图所示），会使用RecursiveDirectoryIterator函数。该函数对过程1中的Phar文件进行解析时，就会触发缓冲区溢出漏洞，进而造成RCE，最终帮助执法人员拿到了LockBit服务器权限。

不过，鉴于目前关于该事件以及该漏洞细节的信息披露仍然很少，上述利用过程是微步漏洞分析专家的合理推测，相关结论仅供参考。如果有更多细节披露，我们会进一步研判并分享研究成果。

尽管在这则新闻中，漏洞一改往日形象，成为执法人员手中阻止网络犯罪的“利器”，但此漏洞细节如果被攻击者掌握，也将给企业带来不可估量的潜在危害。同时，透过“LockBit网站被踹”事件可获得的启示，网络攻防对抗是人与人之间的对抗，攻守之间并无定势。

善于使用漏洞的LockBit也会栽在漏洞上，而处于防守方的企业或组织在防范漏洞攻击方面将更具挑战：据微步情报局数据，微步在2023年捕获到41亿+次漏洞利用攻击，涉及约1300多个漏洞，255个为新爆发漏洞，其中约四分之一在漏洞发布当天就被攻击者利用。企业或组织防范漏洞攻击的难点在于，每年新增漏洞数万个，如何快速、准确找到并修复真正可能被攻击者利用的高风险漏洞？

微步推出的漏洞情报订阅服务不仅提供漏洞修复优先级和修复方案，还提供包括技术分析、复现过程、检测PoC等，更重要的还提供高危0day漏洞预警功能，让您的漏洞运营快人一步！

CVE-2023-3824 漏洞信息及修复地址：

CVSS 3.X评价	严重
基础评分	9.8
向量	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
攻击途径	远程网络
攻击复杂度	低
权限要求	无
用户交互	不需要
影响版本	版本 8.0.0 ≤ version < 8.0.30, 8.1.0 ≤ version < 8.1.22, 8.2.0 ≤ version < 8.2.9 受影响
补丁地址	https://github.com/php/php-src/security/advisories/GHSA-jqcx-ccgc-xwhv