Menu dostępności

Krytyczna luka w zabezpieczeniach PHP wykorzystywana w atakach

Krytyczna luka w zabezpieczeniach PHP wykorzystywana w atakach!

Hakerzy zaczęli masowo wykorzystywać krytyczną lukę w zabezpieczeniach PHP, mogącą umożliwić zdalne wykonywanie kodu na podatnych serwerach – ostrzega firma zajmująca się analizą zagrożeń GreyNoise.

Luka została sklasyfikowana jako CVE-2024-4577 (wynik CVSS 9,8). Może zostać wykorzystana na serwerach Windows, które korzystają z Apache i PHP-CGI, jeśli są ustawione na używanie określonych stron kodowych. Podatność pozwala na zdalne wstrzykiwanie argumentów i wykonanie dowolnego kodu.

Ponieważ implementacja PHP w systemie Windows nie uwzględniała zachowania „Best-Fit”, które kontroluje konwersję znaków Unicode na najbardziej pasujące znaki ANSI, atakujący mogą dostarczać określone sekwencje znaków, które po konwersji byłyby błędnie interpretowane przez moduł php-cgi jako opcje PHP.

CVE-2024-4577 zostało ujawnione w czerwcu 2024 r., a pierwsze próby wykorzystania, przypisywane gangowi ransomware, zaobserwowano zaledwie dwa dni później. Podatność nie jest więc nowa. Nowością nie jest również wykorzystanie luki w atakach. Natomiast to, co alarmujące, to zakres i stałe zwiększanie skali kampanii wykorzystującej opisywane niedoskonałości PHP.

W zeszłym tygodniu Cisco ostrzegało, że od stycznia 2025 r. omawiana luka w zabezpieczeniach była wykorzystywana w złośliwej kampanii skierowanej przeciwko japońskim organizacjom z sektora edukacji, rozrywki, handlu elektronicznego, technologii i telekomunikacji.

W ramach ataków hakerzy uruchamiają narzędzia, aby uzyskać uprawnienia systemowe, modyfikują klucze rejestru i dodają zaplanowane zadania w celu osiągnięcia trwałości, a także tworzą złośliwe usługi przy użyciu wtyczek zestawu Cobalt Strike „TaoWu”.

W marcu GreyNoise podał informację, że eksploatacja CVE-2024-4577 nie ogranicza się do Japonii. W rzeczywistości zauważalne wzrosty aktywności zaobserwowano również w USA, Wielkiej Brytanii, Singapurze, Indonezji, Tajwanie, Hongkongu, Indiach, Hiszpanii oraz Malezji.

„Global Observation Grid (GOG) GreyNoise – światowa sieć honeypotów – wykryła 1089 unikalnych adresów IP próbujących wykorzystać lukę CVE-2024-4577 tylko w styczniu 2025 r.” – podała firma zajmująca się cyberbezpieczeństwem, ostrzegając jednocześnie, że istnieje 79 publicznie dostępnych exploitów ukierunkowanych na tę podatność.

W ciągu ostatniego miesiąca ponad 43% adresów IP używanych w atakach ukierunkowanych na CVE-2024-4577 pochodziło z Niemiec i Chin, a GreyNoise w lutym zaobserwowało wzrost wykorzystania luk w systemach na całym świecie, co „sugeruje dodatkowe automatyczne skanowanie podatnych celów”.

Podatność CVE-2024-4577 ma wpływ na wszystkie wersje PHP w systemie Windows. Została rozwiązana w wersjach PHP 8.1.29, 8.2.20 i 8.3.8. Użytkownikom zaleca się aktualizację instalacji tak szybko, jak to możliwe!

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Środowisko bezpieczeństwa IT ponownie żyje informacjami o ujawnieniu exploita typu zero-day dla systemów Microsoft Windows. Tym razem badacz bezpieczeństwa znany pod pseudonimem Chaotic Eclipse opub...