Специалисты по кибербезопасности из GreyNoise и Cisco Talos обнаружили масштабную кампанию по эксплуатации критической уязвимости CVE-2024-4577 в PHP-CGI. Данная брешь, получившая максимальную оценку опасности 9,8 по шкале CVSS, позволяет злоумышленникам удаленно выполнять произвольный код на уязвимых Windows-системах.
Технические особенности уязвимости
Уязвимость CVE-2024-4577 затрагивает Windows-системы с установленным PHP в режиме CGI. Особенно подвержены риску системы с азиатскими локализациями — традиционной китайской, упрощенной китайской и японской. После публикации исправлений в июне 2024 года исследователи из WatchTowr Labs представили proof-of-concept эксплойт, что спровоцировало волну атак.
География и масштабы атак
По данным системы Global Observation Grid (GOG), только в январе 2025 года зафиксировано 1089 уникальных IP-адресов, участвовавших в попытках эксплуатации уязвимости. Наибольшая активность наблюдается в США, Сингапуре и Японии. Примечательно, что более 43% атакующих IP-адресов располагаются в Германии и Китае.
Цели и методы злоумышленников
Анализ атак показал, что хакеры преследуют несколько целей:
— Кража учетных данных организаций
— Повышение привилегий до уровня SYSTEM
— Установка вредоносных инструментов
— Внедрение фреймворков и плагинов Cobalt Strike TaoWu
Доступность эксплойтов
Исследователи GreyNoise выявили не менее 79 различных эксплойтов для CVE-2024-4577, находящихся в открытом доступе. Такое количество вредоносных инструментов существенно повышает риск успешных атак на незащищенные системы.
Учитывая серьезность угрозы и широкую распространенность атак, администраторам систем настоятельно рекомендуется незамедлительно установить последние обновления безопасности PHP и провести аудит систем на предмет возможных компрометаций. Особое внимание следует уделить системам с азиатскими локализациями как наиболее уязвимым к данной атаке.