这个严重的PHP漏洞正遭大规模利用

该漏洞的CVSS评分为9.8，可在使用Apache 和 PHP-CGI 的Windows 服务器上遭利用，远程注入参数并执行任意代码，不过前提是这些服务器被设置为使用某些代码页面。

由于PHP在Windows 中的视线并不考虑 “Best-Fit”行为，即将 Unicode 字符转换为最为接近的 ANSI 字符，因此攻击者可提供特定字符序列，当转换时可被 php-cgi 模块错误地解释为PHP选项。

CVE-2024-4577首次在2024年6月公开披露，第一次利用尝试由勒索团伙在漏洞披露两天后实施。上周，思科提醒称，自2025年1月起，该漏洞就用于针对日本组织机构的恶意活动中，涵盖教育、娱乐、商业、技术和通信行业。在攻击中，攻击者执行多种工具获取系统权限、修改注册表密钥并添加调度任务实现持久性，并使用 Cobalt Strike 包 “TaoWu” 插件创建恶意服务。

目前，GreyNoise 公司表示，对CVE-2024-4577的利用不仅限于日本。实际上令人注意的攻击也已发生在美国、英国、新加坡、印度尼西亚、印度、西班牙、马来西亚、中国台湾省等国家和地区。GreyNoise 公司提到，“GreyNoise 全球观测网络 (GOG) 是一款全球蜜罐网络，它已检测到单在2025年1月就检测到利用CVE-2024-4577的1089个唯一的IP。”该公司提醒称共有79个公开可用的利用。

CVE-2024-4577影响Windows系统上的所有PHP版本，已在PHP版本8.1.29、8.2.20和8.3.8中修复。GreyNoise公司建议尽快更新至这些版本。