23

2024

-

02

LockBit勒索团伙被端,这个PHP漏洞立大功(利用原理速览)

来源:


据英国国家犯罪调查局(NCA)消息,在英美等国联合发起的“克罗诺斯行动(Operation Cronos)”中,执法人员成功渗透并控制了LockBit勒索家族服务器及网站,获得超1000个解密密钥,并冻结了200多个与该勒索家族相关的加密货币账户,同时还分别在波兰、乌克兰逮捕两名LockBit勒索家族成员。

LockBit是全球最臭名昭著的勒索家族。据公开数据统计,LockBit自2019年首次亮相至今,对全球1700多个组织、机构或企业发起过勒索攻击。LockBit勒索家族近期攻击成功的目标包括美国波音公司、芯片巨头台积电、半导体巨头鸿海集团旗下京鼎精密科技股份有限公司等。
然而比较有意思的是,频频使用漏洞对全球组织机构发起攻击的LockBit自己也栽在漏洞上。据国外媒体消息,NCA执法人员通过利用一个编号为CVE-2023-3824的PHP漏洞,成功渗透并控制了LockBit家族支撑RaaS运行的服务器,由此获得包括解密秘钥、加密货币账户等情报。
促成LockBit网站被踹的“功臣”——CVE-2023-3824是一个PHP溢出漏洞,成功利用该漏洞可实现RCE效果。目前国外论坛有披露此漏洞利用的部分细节,但并不完整,无法得知利用过程全貌。为防止其他网络攻击者利用此漏洞,微步情报局漏洞分析专家通过集合这些信息,推测出此漏洞的利用原理:
CVE-2023-3824的漏洞原理是,PHP对Phar文件进行处理时,由于对相关数据结构的长度判断不当,从而造成缓冲区溢出。结合国外论坛透露的信息来看,NCA至少使用了两个漏洞形成漏洞利用链,除了CVE-2023-3824外,应该还利用了一个文件上传漏洞,以便将Phar文件上传到服务器中。
如果是文件上传+PHP溢出漏洞组合的话,那其攻击过程大致如下:
  1. NCA等执法人员利用未知的文件上传漏洞上传精心构造的Phar文件到LockBit服务器;

  2. 由于LockBit服务中存在遍历目录的逻辑(如下图所示),会使用RecursiveDirectoryIterator函数。该函数对过程1中的Phar文件进行解析时,就会触发缓冲区溢出漏洞,进而造成RCE,最终帮助执法人员拿到了LockBit服务器权限。

    不过,鉴于目前关于该事件以及该漏洞细节的信息披露仍然很少,上述利用过程是微步漏洞分析专家的合理推测,相关结论仅供参考。如果有更多细节披露,我们会进一步研判并分享研究成果。
    尽管在这则新闻中,漏洞一改往日形象,成为执法人员手中阻止网络犯罪的“利器”,但此漏洞细节如果被攻击者掌握,也将给企业带来不可估量的潜在危害。同时,透过“LockBit网站被踹”事件可获得的启示,网络攻防对抗是人与人之间的对抗,攻守之间并无定势。
    善于使用漏洞的LockBit也会栽在漏洞上,而处于防守方的企业或组织在防范漏洞攻击方面将更具挑战:据微步情报局数据,微步在2023年捕获到41亿+次漏洞利用攻击,涉及约1300多个漏洞,255个为新爆发漏洞,其中约四分之一在漏洞发布当天就被攻击者利用。企业或组织防范漏洞攻击的难点在于,每年新增漏洞数万个,如何快速、准确找到并修复真正可能被攻击者利用的高风险漏洞?

    微步推出的漏洞情报订阅服务不仅提供漏洞修复优先级和修复方案,还提供包括技术分析、复现过程、检测PoC等,更重要的还提供高危0day漏洞预警功能,让您的漏洞运营快人一步!

    CVE-2023-3824 漏洞信息及修复地址:
    CVSS 3.X评价
    严重
    基础评分
    9.8
    向量
    AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    攻击途径
    远程网络
    攻击复杂度
    权限要求
    用户交互
    不需要
    影响版本
    版本 8.0.0 ≤ version < 8.0.30, 8.1.0 ≤ version < 8.1.22, 8.2.0 ≤ version < 8.2.9 受影响
    补丁地址
    https://github.com/php/php-src/security/advisories/GHSA-jqcx-ccgc-xwhv