Поделиться
В PHP найдена «дыра», которую хакеры уже вовсю используют для установки троянов
Неизвестные хакеры воспользовались багом CVE-2024-4577 для атаки на тайваньский университет с неясными целями. В системы образовательного учреждения установили не встречавшийся ранее бэкдор.
Масса неизвестных
Недавно выявленная критическая уязвимость в языке для разработки веб-приложений PHP позволяет запускать произвольный код удаленно, и злоумышленники уже этим пользуются: университет в Тайване был атакован с помощью ранее не задокументированного бэкдора Msupedge.
Эксперты группы Symantec Threat Hunter Team сообщили, что неизвестные пока хакеры воспользовались багом CVE-2024-4577 (9,8 баллов по шкале CVSS) для установки двух DLL-файлов в каталоги csidl_drive_fixed\xampp\ и csidl_system\wbem\. Одну из этих библиотек запускает сервер Apache HTTP (httpd). Родительский процесс второй DLL установить не удалось.
Наибольшее внимание экспертов привлек тот факт, что бэкдор использует DNS-трафик для обмена данными со своим контрольным сервером. Msupedge устанавливает DNS-тунель, используя код легитимного опенсорсного инструмента dnscat2.
«[Бэкдор] получает команды, осуществляя определение имени хоста, – говорится в публикации Symantec. – Через DNS-трафик Msupedge не только получает инструкции, но и использует в качестве таковых получаемые IP-адреса контрольного сервера».
Как пишет издание Hacker News, третий октет разрешенного IP-адреса выполняет функцию переключателя, который регулирует поведение бэкдора; из численного представления IP-адреса вычитается семь, а затем шестнадцатеричное представление полученной величины считывается бэкдором как команда.
Так, например, если третий октет равен 145, новое полученное значение преобразуется в 138 (0x8a) – это команда на создание процесса. В свою очередь, 0x75 – это скачивание файла с URL-адреса, присланного через запись DNS TXT. 0x24 и 0x66 – команды на временную деактивацию («спящий режим»). 0x38 – создание временного файла %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp, а 0x3c – удаление этого файла. Конкретное его назначение осталось невыясненным.
Широкие возможности взлома
Загадкой пока остается и конечная цель хакеров.
«С имеющейся информацией можно лишь догадываться, что именно происходит и с какой целью университет был атакован, хотя, у бэкдоров всегда одно и то же назначение – несанкционированный доступ в чужую инфраструктуру с целью кражи данных, – отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. – В целом же речь идет о том, что на критические уязвимости необходимо реагировать с максимальной оперативностью, особенно в широко распространенных продуктах».
Уязвимость CVE-2024-4577 устранена в последних версиях PHP, однако, по-видимому, в мире остается много уязвимых систем. Об этом свидетельствует энергичное использование этого бага различными кибергруппировками для распространения троянцев, криптомайнеров и расширения DDoS-ботнетов.
Как недавно писал CNews, CVE-2024-4577 позволяет злоумышленникам удаленно запускать вредоносные команды в системах под Windows при условии, что в них используются японо- и китаеязычные локали, то есть наборы параметров, определяющие региональные настройки пользовательского интерфейса, такие как язык, страна, часовой пояс и т.п.
Поделиться
Короткая ссылка
