Penyerang dari Tiongkok sedang memanfaatkan celah keamanan lama dalam ThinkPHP, sebuah kerangka kerja populer untuk membuat situs web. Celah ini memungkinkan mereka untuk melakukan serangan-serangan baru yang bisa menyebabkan kerusakan pada situs web dan mengambil data dari server.

ThinkPHP memiliki dua celah keamanan yang ditemukan lebih dari lima tahun yang lalu, yang disebut kerentanan eksekusi kode jarak jauh (RCE). Celah-celah ini, yang disebut CVE-2018-20062 dan CVE-2019-9082, memengaruhi sistem manajemen konten yang masih menggunakan versi lama dari ThinkPHP. Peneliti dari perusahaan keamanan Akamai mengatakan bahwa penyerang telah menggunakan celah ini untuk melakukan serangan.

Ada dua serangan yang telah terjadi. Satu terjadi pada Oktober 2023 dan yang lainnya dimulai pada April 2024. Penyerang menggunakan celah tersebut untuk mengambil file dari server yang mungkin telah diretas di Tiongkok, dan untuk menginstal program yang memberi mereka akses ke server yang rentan.

Program ini, yang disebut Dama, memungkinkan penyerang untuk menjelajahi file di server, mengubahnya, dan mengambil informasi. Setelah berhasil mengambil alih server, mereka dapat melakukan berbagai tindakan jahat seperti mengakses database, meningkatkan hak akses, dan bahkan menjalankan perintah pada server.

Kerentanan ini telah diperbaiki dalam pembaruan yang dirilis pada Desember 2018 untuk CVE-2018-20062 dan Februari 2019 untuk CVE-2019-9082. Namun, karena beberapa organisasi masih menggunakan versi lama ThinkPHP, penyerang masih dapat mengeksploitasi celah tersebut.

Akamai menyarankan agar organisasi segera melakukan pembaruan ke versi terbaru ThinkPHP untuk melindungi diri dari serangan-serangan ini. Mereka juga menekankan bahwa penyerang dapat menyerang berbagai macam sistem, bukan hanya yang menggunakan ThinkPHP, sehingga penting bagi semua organisasi untuk menjaga keamanan sistem mereka.