这个严重的PHP漏洞正遭大规模利用
这个严重的PHP漏洞正遭大规模利用
Ionut Arghire 代码卫士 2025-03-11 18:25
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
威胁情报公司 GreyNoise 提到,威胁行动者们已开始大规模利用PHP中的一个严重漏洞CVE-2024-4577,它可导致攻击者在易受攻击服务器上实现远程代码执行。
该漏洞的CVSS评分为9.8,可在使用Apache 和 PHP-CGI 的Windows 服务器上遭利用,远程注入参数并执行任意代码,不过前提是这些服务器被设置为使用某些代码页面。
由于PHP在Windows 中的视线并不考虑 “Best-Fit”行为,即将 Unicode 字符转换为最为接近的 ANSI 字符,因此攻击者可提供特定字符序列,当转换时可被 php-cgi 模块错误地解释为PHP选项。
CVE-2024-4577首次在2024年6月公开披露,第一次利用尝试由勒索团伙在漏洞披露两天后实施。上周,思科提醒称,自2025年1月起,该漏洞就用于针对日本组织机构的恶意活动中,涵盖教育、娱乐、商业、技术和通信行业。在攻击中,攻击者执行多种工具获取系统权限、修改注册表密钥并添加调度任务实现持久性,并使用 Cobalt Strike 包 “TaoWu” 插件创建恶意服务。
目前,GreyNoise 公司表示,对CVE-2024-4577的利用不仅限于日本。实际上令人注意的攻击也已发生在美国、英国、新加坡、印度尼西亚、印度、西班牙、马来西亚、中国台湾省等国家和地区。GreyNoise 公司提到,“GreyNoise 全球观测网络 (GOG) 是一款全球蜜罐网络,它已检测到单在2025年1月就检测到利用CVE-2024-4577的1089个唯一的IP。”该公司提醒称共有79个公开可用的利用。
CVE-2024-4577影响Windows系统上的所有PHP版本,已在PHP版本8.1.29、8.2.20和8.3.8中修复。GreyNoise公司建议尽快更新至这些版本。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
骚操作:为了求职,劫持十几个热门 Packagist PHP 包
PHP包管理器Composer组件 Packagist中存在漏洞,可导致软件供应链攻击
原文链接
https://www.securityweek.com/mass-exploitation-of-critical-php-vulnerability-begins/
题图:
Pixabay
License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~