Масштабная кампания по эксплуатации уязвимости PHP-CGI затронула множество стран

CyberSecureFox 🦊

Специалисты по кибербезопасности из GreyNoise и Cisco Talos обнаружили масштабную кампанию по эксплуатации критической уязвимости CVE-2024-4577 в PHP-CGI. Данная брешь, получившая максимальную оценку опасности 9,8 по шкале CVSS, позволяет злоумышленникам удаленно выполнять произвольный код на уязвимых Windows-системах.

Технические особенности уязвимости

Уязвимость CVE-2024-4577 затрагивает Windows-системы с установленным PHP в режиме CGI. Особенно подвержены риску системы с азиатскими локализациями — традиционной китайской, упрощенной китайской и японской. После публикации исправлений в июне 2024 года исследователи из WatchTowr Labs представили proof-of-concept эксплойт, что спровоцировало волну атак.

География и масштабы атак

По данным системы Global Observation Grid (GOG), только в январе 2025 года зафиксировано 1089 уникальных IP-адресов, участвовавших в попытках эксплуатации уязвимости. Наибольшая активность наблюдается в США, Сингапуре и Японии. Примечательно, что более 43% атакующих IP-адресов располагаются в Германии и Китае.

Цели и методы злоумышленников

Анализ атак показал, что хакеры преследуют несколько целей:
— Кража учетных данных организаций
— Повышение привилегий до уровня SYSTEM
— Установка вредоносных инструментов
— Внедрение фреймворков и плагинов Cobalt Strike TaoWu

Доступность эксплойтов

Исследователи GreyNoise выявили не менее 79 различных эксплойтов для CVE-2024-4577, находящихся в открытом доступе. Такое количество вредоносных инструментов существенно повышает риск успешных атак на незащищенные системы.

Учитывая серьезность угрозы и широкую распространенность атак, администраторам систем настоятельно рекомендуется незамедлительно установить последние обновления безопасности PHP и провести аудит систем на предмет возможных компрометаций. Особое внимание следует уделить системам с азиатскими локализациями как наиболее уязвимым к данной атаке.

Оставьте комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.