Cybersicherheitsexperten von GreyNoise und Cisco Talos haben eine kritische Schwachstelle in PHP-CGI aufgedeckt, die aktuell für massive Cyberangriffe ausgenutzt wird. Die als CVE-2024-4577 klassifizierte Sicherheitslücke erreicht mit 9,8 von 10 Punkten den höchstmöglichen Schweregrad auf der CVSS-Skala und ermöglicht Angreifern die Remote-Ausführung von beliebigem Code auf verwundbaren Windows-Systemen.
Technische Details der Sicherheitslücke
Die Schwachstelle betrifft spezifisch Windows-Systeme mit aktivierter PHP-CGI-Konfiguration. Besonders gefährdet sind Installationen mit asiatischen Lokalisierungen, darunter traditionelles und vereinfachtes Chinesisch sowie Japanisch. Nach der Veröffentlichung von Sicherheitsupdates im Juni 2024 entwickelten Forscher von WatchTowr Labs einen Proof-of-Concept-Exploit, der eine Welle von Angriffsversuchen auslöste.
Globales Ausmaß der Angriffskampagne
Die Global Observation Grid (GOG) dokumentierte allein im Januar 2025 über 1.089 eindeutige IP-Adressen, die aktiv versuchten, die Schwachstelle auszunutzen. Die geografische Verteilung zeigt Schwerpunkte in den USA, Singapur und Japan, wobei bemerkenswerte 43% der Angriffe von Systemen aus Deutschland und China ausgehen.
Angriffsziele und Taktiken
Die Analyse der Angriffsmuster offenbart mehrere strategische Ziele der Cyberkriminellen:
– Systematische Extraktion von Unternehmensanmeldedaten
– Eskalation von Systemrechten
– Distribution von Malware
– Implementation von Cobalt Strike TaoWu Frameworks
Verfügbarkeit und Verbreitung von Exploits
Sicherheitsforscher von GreyNoise haben 79 verschiedene öffentlich zugängliche Exploits für CVE-2024-4577 identifiziert. Diese hohe Verfügbarkeit von Angriffswerkzeugen erhöht das Risiko erfolgreicher Kompromittierungen erheblich und unterstreicht die Dringlichkeit von Sicherheitsmaßnahmen.
Angesichts der akuten Bedrohungslage wird Systemadministratoren dringend empfohlen, umgehend die neuesten PHP-Sicherheitsupdates zu implementieren und ihre Systeme auf mögliche Kompromittierungen zu überprüfen. Besondere Aufmerksamkeit sollte Systemen mit asiatischen Lokalisierungen gewidmet werden, da diese ein erhöhtes Risikoprofil aufweisen. Die Installation von Intrusion Detection Systemen und die Implementierung einer mehrstufigen Sicherheitsstrategie sind essentiell, um potenzielle Angriffe frühzeitig zu erkennen und abzuwehren.
