Критична уязвимост в PHP дава пълен достъп до корпоративните системи
Експертите на GreyNoise предизвестиха за разширение на потреблението на сериозна накърнимост в PHP-CGI, която в началото засягаше най-вече японски организации. Атаките към този момент обгръщат голям брой райони, което изисква незабавни ограничения за отбрана от опасността.
Cisco Talos неотдавна заяви за откриването на злонамерена акция, ориентирана към организации в Япония. Атаките експлоатират сериозна накърнимост RCE в PHP-CGI CVE-2024-4577 (CVSS оценка: 9,8).
Нападателите са употребявали уязвими съоръжения на PHP-CGI в системи, основани на Windows, с цел да разпрострат Cobalt Strike и да извършат следващи офанзиви благодарение на инструментариума TaoWu. Основните характерности на офанзивите включват потребление на HTTP POST поръчки с MD5 хеш като знак за сполучливо разрастване, евакуиране на злонамерени PowerShell скриптове и хостинг на C2 инфраструктура в Alibaba Cloud.
Според GreyNoise обсегът на офанзивите е доста по-широк, в сравнение с се смяташе в началото. През януари са регистрирани повече от 1089 неповторими IP адреса, които се пробват да употребяват експлойта. Общо са известни 79 метода за експлоатиране на уязвимостта, което разрешава отдалечено осъществяване на код на уязвими системи.
От GreyNoise потвърдиха, че офанзивите обгръщат голям брой райони, в това число Съединени американски щати, Сингапур, Обединеното кралство, Испания и Индия, като интензивността им се е нараснала доста в края на януари. Повече от 43% от злонамерения трафик е регистриран от Германия и Китай. През февруари се следят нови скокове в опитите за употреба, което демонстрира автоматизирано сканиране на мрежата за уязвими цели.
CVE-2024-4577 беше открит и поправен още през лятото на 2024 гoдина, само че офанзивите продължиха. Основната цел на нападателите е била да откраднат идентификационни данни и вероятно да се закрепят в системата за следващи офанзиви. През август беше обявено за офанзива против университет в Тайван. Това значи, че казусът е почнал да се популяризира отвън Япония доста преди GreyNoise да заяви.
Експертите настоятелно предлагат на организациите, употребяващи сървъри с Windows и отворен достъп до PHP-CGI, да следват рекомендациите, да правят ретроспективен разбор на мрежовата интензивност и неотложно да блокират злонамерените IP адреси, както и да конфигурират най-новите актуализации за сигурност.
