Поделиться
Исправленная «дыра» в PHP внезапно стала предметом массовой эксплуатации
Выявленный и устраненный «баг» в PHP-CGI допускал запуск произвольного кода. С начала января его начали активно эксплуатировать хакеры, а с февраля атаки перешли в автоматизированный режим.
Старая, старая сказка
Уязвимость в PHP, исправленная в середине прошлого года, неожиданно стала предметом массовой эксплуатации, сообщает издание Bleeping Computer со ссылкой на аналитиков фирмы GreyNoise. Проблема затрагивает только пользователей Windows.
Уязвимость CVE-2024-4577 допускает внедрение аргумента в PHP-CGI, что открывает неаутентифицированным злоумышленникам возможность запуска произвольного кода и, соответственно, полной компрометации системы.
Этот «баг» был исправлен 7 июня 2024 г. разработчиками PHP; уже на следующий день специалисты фирмы WatchTowr Labs опубликовали демонстрационный эксплойт, после чего начались попытки использовать его в практических атаках.
Ранее в этом году специалисты Cisco Talos объявили, что некие злоумышленники использовали эту же уязвимость в атаках на японские организации с начала января 2025 г.
Злоумышленники пытались красть реквизиты доступа, однако в Cisco Talos считают, что цели атакующей стороны этим не ограничиваются. После первоначального вторжения хакеры стремились повысить свои привилегии до максимального уровня (SYSTEM), установить постоянство доступа и внедрить различные инструменты для развития атак, такие как плагины TaoWu к фреймворку Cobalt Strike.
Япония, США, Сингапур, далее везде
Как указывают исследователи GreyNoise, текущие атаки не ограничиваются одной только Японией: злоумышленники в последние месяцы пытались взламывать цели в Сингапуре, США и других странах.
За один только январь глобальная система honeypot-детекторов Global Observation Grid отметила попытки эксплуатации данной уязвимости в PHP с 1089 уникальных IP-адресов.
Более 43% этих атак происходили с территорий ФРГ и КНР, говорится в публикации GreyNoise. Исследователи фирмы насчитали как минимум 79 эксплойтов, доступных в Сети.
В феврале был отмечен резкое увеличение попыток эксплуатации, нацеленных на сети различных организаций во множестве стран. По мнению исследователей, речь идет об автоматизации сканирования Сети на предмет уязвимых хостов.
«PHP очень широко распространен, соответственно, любая значительная уязвимость в его компонентах будет целью злоумышленников», - говорит Александр Зонов, эксперт по информационной безопасности компании SEQ. «Даже несколько удивительно, что эти волны автоматизированных атак не начались еще раньше. Эксплуатировать данную уязвимость, судя по всему, сравнительно просто, что дополнительно повышает угрозу от нее».
Ранее неизвестные злоумышленники успешно наставили множество бэкдоров в Windows-системы в некоем университете в Тайване, используя эту уязвимость и новый вредонос, получивший название Msupedge.
В свою очередь, шифровальная группировка TellYouThePass начала эксплуатировать эту же уязвимость для распространения веб-шеллов и установки и запуска шифровальщиков, причем эта деятельность началась менее чем через 48 часов после выхода патчей к CVE-2024-4577.
Поделиться
Короткая ссылка
