Исследователи из компании GreyNoise обнаружили, что злоумышленники активно используют уязвимость CVE-2024-4577 в PHP, которая позволяет им удаленно запускать код на Windows-серверах с Apache и PHP-CGI.
Эта уязвимость была обнародована в июне 2024 года, и уже через два дня начались попытки ее эксплуатации со стороны киберпреступников. Компания Cisco сообщила, что атаки с использованием этой уязвимости активно проводятся против японских компаний в различных отраслях.
Злоумышленники, используя уязвимость, получают доступ к системным привилегиям, изменяют данные в реестре Windows, создают вредоносные сервисы и используют плагины Cobalt Strike.
GreyNoise предупреждает, что атаки распространяются за пределы Японии. В январе 2025 года было зафиксировано более тысячи уникальных IP-адресов, пытающихся использовать уязвимость, в том числе в США, Великобритании, Сингапуре, Индонезии, Тайване, Гонконге, Индии, Испании и Малайзии. Более 43% атакующих IP-адресов были зарегистрированы в Германии и Китае.
Уязвимость связана с тем, что PHP-CGI на Windows неправильно обрабатывает Unicode-символы, что позволяет злоумышленникам выполнить произвольный код. Эта проблема была устранена в версиях PHP 8.1.29, 8.2.20 и 8.3.8.
На данный момент доступно 79 эксплойтов для уязвимости CVE-2024-4577, поэтому администраторам и разработчикам, использующим PHP на Windows, следует быть особенно бдительными.
© KiberSec.ru – 02.04.2025, обновлено 02.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
