Utilisation d'une vulnérabilité d'exécution de code à distance dans ThinkPHP pour déployer différents malwares (CVE-2018-20062)

7, 2019 février

Temps de lecture : 2 minutes

A remote code execution bug in the Chinese open source framework ThinkPHP is being actively used by threat actors to implant a variety of malware, primarily targeting Internet of Things (IoT) devices.

Contexte

Over the last few months, attackers have been leveraging CVE-2018-20062, a remote code execution (RCE) vulnerability in Chinese open source PHP framework ThinkPHP, to implant a variety of malware. While the vulnerability was patched on December 9, 2018, a proof of concept (PoC) was published to ExploitDB on December 11.

Analyse

Shortly after the publication of the PoC, researchers observed an uptick in attackers scanning for vulnerable versions of ThinkPHP. On December 20, Trend Micro published a blog about a new IoT botnet called Miori that spreads using CVE-2018-20062. According to Trend Micro researchers, additional IoT malware known as IZ1H9 and APEP began to utilize the same vulnerability as an infection vector.

In January 2019, the Akamai security team not only observed this vulnerability being used in attacks to implant IoT malware, but also discovered it being used to spread cryptocurrency miners and Windows malware. Trend Micro posted another blog on January 25, detailing the usage of this vulnerability by IoT malware known as Hakai and Yowai.

On February 4, researchers at Check Point named ThinkPHP as the initial infection vector in attacks targeting systems to implant a backdoor trojan known as SpeakUp.

Despite being patched in December 2018, CVE-2018-20062 has become a popular vulnerability for attackers looking to implant IoT malware onto systems. The vulnerability has also been observed in the propagation of other types of malware like cryptocurrency miners and trojans. We expect this to remain a popular exploit with attackers as long as systems remain unpatched.

Solution

This vulnerability was patched in ThinkPHP versions 5.0.23 and 5.1.31. Users are strongly encouraged to upgrade to a newer version of the framework.

Identification des systèmes affectés

A list of Nessus plugins to identify these vulnerabilities can be found here.

Où trouver plus d'informations

Rejoignez l'équipe SRT de Tenable sur Tenable Community.

Apprenez-en plus sur Tenable, la première plateforme de Cyber Exposure qui vous permet de gérer votre surface d'attaque moderne de manière globale.

Get a free 60-day trial of Tenable.io Vulnerability Management.

Satnam Narang

Senior Staff Research Engineer, Security Response

Satnam a rejoint Tenable en 2018. Il a plus de 15 ans d'expérience dans le domaine de la sécurité (M86 Security et Symantec). Il a participé au groupe de travail anti-hameçonnage, aidé à produire un guide sur les réseaux sociaux pour la National Cyber Security Alliance et dévoilé un gigantesque botnet d'envoi de spam sur Twitter. Il a également été le premier à signaler les spambots sur Tinder. Il a aussi été invité au journal télévisé du soir sur NBC, aux émissions Entertainment Tonight et Bloomberg West et au podcast Why Oh Why.

Centres d'intérêt : Satnam écrit de la poésie et compose de la musique hip-hop. Il aime la musique live, passer du temps avec ses trois nièces, le football et le basketball, les films et la musique de Bollywood, et Grogu (Baby Yoda).

Vulnerability Management

Plateforme de gestion de l'exposition Tenable One

Catégories de la plateforme

Capacités de la plateforme

Cyber‑exposition du cloud

Cyber‑exposition liée aux vulnérabilités

Cyber‑exposition de l'OT/IoT

Cyber‑exposition des identités

Besoins des entreprises

Secteurs

Conformité

Secteur public

La différence Tenable

Comparer Tenable à :

Ressources

Tenable Research

Programme de partenariat Tenable Assure

Autres opportunités partenaires

Assistance

Services

Tenable Trust

Notre société

Médias

Connexion

Nous rejoindre

Utilisation d'une vulnérabilité d'exécution de code à distance dans ThinkPHP pour déployer différents malwares (CVE-2018-20062)

Contexte

Analyse

Solution

Identification des systèmes affectés

Où trouver plus d'informations

Satnam Narang

Senior Staff Research Engineer, Security Response

Utilisation d'une vulnérabilité d'exécution de code à distance dans ThinkPHP pour déployer différents malwares (CVE-2018-20062)

Contexte

Analyse

Solution

Identification des systèmes affectés

Où trouver plus d'informations

Satnam Narang

Senior Staff Research Engineer, Security Response

Articles connexes

Navigating Public Cloud Vulnerability Management: When To Choose Network Scanners, Agents or Agentless

CVE-2025-32756: Zero-Day Vulnerability in Multiple Fortinet Products Exploited in the Wild

CVE-2025-4427, CVE-2025-4428: Ivanti Endpoint Manager Mobile (EPMM) Remote Code Execution

Des actualités utiles sur la cyber-sécurité

Merci de votre inscription !

Tenable Vulnerability Management

Tenable Vulnerability Management

Merci

Tenable Vulnerability Management

Tenable Vulnerability Management

Merci

Tenable Vulnerability Management

Tenable Vulnerability Management

Merci

Essayez Tenable Web App Scanning

Acheter Tenable Web App Scanning

Merci

Demander une démo de Tenable Security Center

Demander une démo de Tenable OT Security

Demander une démo

Demandez une démo de Tenable Cloud Security

Découvrez Tenable One en action

Voir Tenable Attack Surface Management en action

Obtenir une démo de Tenable Enclave Security

Merci

Essayez Tenable Nessus Professional gratuitement

NOUVEAU - Tenable Nessus Expert maintenant disponible

Acheter Tenable Nessus Professional

Essayer Tenable Nessus Expert gratuitement

Acheter Tenable Nessus Expert

Découvrez comment Tenable répond aux exigences du plan de cyber‑sécurité SLCGP

Obtenez une démo de Tenable Patch Management

Découvrez
Tenable One
en action

NOUVEAU - Tenable Nessus Expert
maintenant disponible