![严重的 PHP RCE 漏洞在新攻击中被大量利用]( "严重的 PHP RCE 漏洞在新攻击中被大量利用")
威胁情报公司 GreyNoise 警告称,影响 Windows 系统的一个严重 PHP 远程代码执行漏洞目前正在遭到大规模利用。
该 PHP-CGI 参数注入漏洞的编号为CVE-2024-4577 ,已于 2024 年 6 月修复,影响以 CGI 模式运行 PHP 的 Windows PHP 安装。成功利用该漏洞可使未经身份验证的攻击者执行任意代码,并在成功利用后导致系统完全被攻陷。
2024 年 6 月 7 日,PHP 维护人员发布 CVE-2024-4577 补丁的第二天,WatchTowr Labs 发布了概念验证 (PoC)漏洞代码,Shadowserver 基金会报告观察到了漏洞利用尝试。
此前,思科 Talos 曾透露,自 2025 年 1 月初以来,一名未知攻击者就利用相同的 PHP 漏洞攻击日本组织,之后 GreyNoise 发出了警告。
虽然 Talos 观察到攻击者试图窃取凭证,但根据后利用活动,它认为他们的目标不仅限于凭证收集,还包括建立持久性、将权限提升到 SYSTEM 级别、部署对抗工具和框架、以及使用“TaoWu”Cobalt Strike 套件插件。
然而,正如 GreyNoise 所报道的那样,这一恶意活动背后的攻击者将目标扩大到了全球范围内的易受攻击的设备,自 2025 年 1 月以来,美国、新加坡、日本和其他国家/地区的攻击次数显著增加。
仅在一月份,其全球蜜罐网络(称为全球观测网格 (GOG))就发现 1,089 个唯一 IP 地址试图利用此 PHP 安全漏洞。
该威胁情报公司表示:“虽然初步报告重点关注日本的攻击,但 GreyNoise 数据证实,攻击范围要广泛得多……过去 30 天内针对 CVE-2024-4577 的 IP 中有超过 43% 来自德国和中国”,并警告称,网上至少有 79 个漏洞可以利用。
“2 月份,GreyNoise 检测到针对多个国家网络的攻击尝试出现协同激增,这表明对易受攻击的目标进行了额外的自动扫描。”
此前,CVE-2024-4577 被未知攻击者利用,他们使用新发现的名为 Msupedge 的恶意软件入侵了台湾一所大学的 Windows 系统。
TellYouThePass 勒索软件团伙也在2024 年 6 月补丁发布后不到 48 小时内开始利用该漏洞部署 webshell 并加密受害者的系统。
信息来源 :BleepingComputer
原文始发于微信公众号(犀牛安全):严重的 PHP RCE 漏洞在新攻击中被大量利用
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3844946.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论