多个威胁行为者利用 PHP 漏洞 CVE-2024-4577 传播恶意软件

Akamai 安全情报响应团队（SIRT）警告称，多个威胁行为者正在利用 PHP 漏洞 CVE-2024-4577 传播多个恶意软件家族，包括 Gh0st RAT、RedTail 加密货币挖矿软件和 XMRig。

Akamai 报告称：“威胁行为者继续延续从披露到利用的快速响应趋势，并迅速利用这一新漏洞——我们在披露该漏洞后的 24 小时内，在我们的蜜罐网络中观察到了针对此 PHP 漏洞的利用尝试。”

漏洞 CVE-2024-4577（CVSS 评分：9.8）是一个 PHP-CGI 操作系统命令注入漏洞。该问题存在于 Windows 操作系统中编码转换的最佳匹配功能中。攻击者可以利用该漏洞，通过使用特定的字符序列绕过针对先前漏洞 CVE-2012-1823 的保护。因此，攻击者可以通过参数注入攻击在远程 PHP 服务器上执行任意代码，从而控制易受攻击的服务器。

据 Shadowserver 和 GreyNoise 研究人员报告，自该漏洞披露以及 PoC 漏洞利用代码公开以来，多个威胁行为者正试图利用该漏洞。

今年六月，美国网络安全和基础设施安全局（CISA）将该漏洞添加到了其已知已利用漏洞（KEV）目录中。

GreyNoise 研究人员还报告了针对 CVE-2024-4577 的恶意利用尝试。

“截至本文撰写时，已验证当 Windows 在以下区域设置中运行时，未经授权的攻击者可以直接在远程服务器上执行任意代码：”

• 繁体中文（代码页 950）

• 简体中文（代码页 936）
  日文（代码页 932）

对于运行在其他区域设置（如英语、韩语和西欧语言）的 Windows 系统，由于 PHP 的使用场景广泛，目前无法完全列举和消除所有潜在的利用场景。”该咨询继续指出，“因此，建议用户进行全面的资产评估，验证其使用场景，并将 PHP 更新到最新版本以确保安全。

Akamai 研究人员还观察到，DDoS 僵尸网络 Muhstik 背后的威胁行为者正在利用此漏洞。

该僵尸网络 shell 脚本从一个不同的 IP 地址下载了一个名为“pty3”的 ELF 文件，这很可能是 Muhstik 恶意软件的样本。该恶意软件被设计用于针对物联网（IoT）设备和 Linux 服务器进行加密货币挖矿和 DDoS 攻击。该僵尸网络还连接到命令与控制域 p.findmeatthe[.]top，该域名曾在 Muhstik 僵尸网络活动中被观察到，并通过 Internet Relay Chat 进行通信。

研究人员还观察到一个利用该漏洞传播 XMRig 的活动。攻击者注入了一个命令，该命令依赖于 PowerShell 脚本下载并执行一个脚本，以从远程挖矿池启动 XMRig。该脚本还会清理临时文件以进行混淆。

“由于各种自动化工具的使用和企业监督的缺乏，攻击者很容易得手。在披露新漏洞后，防御者保护自己的时间不断缩短，这是另一个关键的安全风险。”报告总结道。“由于该 PHP 漏洞的高利用性和威胁行为者的快速采用，这一点尤为重要。”

原文始发于微信公众号（黑猫安全）：多个威胁行为者利用 PHP 漏洞 CVE-2024-4577 传播恶意软件