Una nueva amenaza de ciberseguridad ha emergido con el descubrimiento de una vulnerabilidad crítica en PHP-CGI, identificada como CVE-2024-4577, que está siendo activamente explotada a nivel global. Los equipos de investigación de GreyNoise y Cisco Talos han documentado una extensa campaña de ataques que aprovecha esta brecha, calificada con un alarmante nivel de severidad 9.8 en la escala CVSS.
Análisis Técnico de la Vulnerabilidad
La vulnerabilidad afecta específicamente a sistemas Windows que ejecutan PHP en modo CGI, presentando un riesgo especialmente elevado para instalaciones con configuraciones regionales asiáticas. Los sistemas que utilizan localizaciones en chino tradicional, chino simplificado y japonés muestran una susceptibilidad particular a estos ataques. La situación se agravó considerablemente tras la publicación de un exploit proof-of-concept por WatchTowr Labs.
Distribución y Alcance de los Ataques
El sistema Global Observation Grid ha registrado una actividad significativa, con más de 1,089 direcciones IP únicas involucradas en intentos de explotación durante enero de 2025. La distribución geográfica de los ataques muestra una concentración notable en Estados Unidos, Singapur y Japón, con un 43% de las direcciones IP atacantes originándose desde Alemania y China.
Vectores de Ataque y Objetivos Identificados
Los análisis revelan que los atacantes persiguen múltiples objetivos maliciosos, incluyendo:
– Compromiso de credenciales corporativas
– Elevación de privilegios a nivel SYSTEM
– Implementación de herramientas maliciosas
– Despliegue de frameworks Cobalt Strike TaoWu
Proliferación de Exploits
La investigación de GreyNoise ha identificado 79 variantes distintas de exploits disponibles públicamente, lo que amplifica significativamente el riesgo de ataques exitosos contra sistemas no parcheados. Esta abundancia de herramientas maliciosas representa una amenaza sustancial para la seguridad de las organizaciones.
Ante la gravedad de esta amenaza, se recomienda encarecidamente a los administradores de sistemas implementar inmediatamente las últimas actualizaciones de seguridad de PHP, realizar auditorías exhaustivas de seguridad y prestar especial atención a los sistemas con localizaciones asiáticas. La rapidez en la aplicación de estas medidas es crucial para prevenir posibles compromisos de seguridad y proteger la integridad de los sistemas afectados.