Hakerzy zaczęli masowo wykorzystywać krytyczną lukę w zabezpieczeniach PHP, mogącą umożliwić zdalne wykonywanie kodu na podatnych serwerach – ostrzega firma zajmująca się analizą zagrożeń GreyNoise.
Luka została sklasyfikowana jako CVE-2024-4577 (wynik CVSS 9,8). Może zostać wykorzystana na serwerach Windows, które korzystają z Apache i PHP-CGI, jeśli są ustawione na używanie określonych stron kodowych. Podatność pozwala na zdalne wstrzykiwanie argumentów i wykonanie dowolnego kodu.
Ponieważ implementacja PHP w systemie Windows nie uwzględniała zachowania „Best-Fit”, które kontroluje konwersję znaków Unicode na najbardziej pasujące znaki ANSI, atakujący mogą dostarczać określone sekwencje znaków, które po konwersji byłyby błędnie interpretowane przez moduł php-cgi jako opcje PHP.
CVE-2024-4577 zostało ujawnione w czerwcu 2024 r., a pierwsze próby wykorzystania, przypisywane gangowi ransomware, zaobserwowano zaledwie dwa dni później. Podatność nie jest więc nowa. Nowością nie jest również wykorzystanie luki w atakach. Natomiast to, co alarmujące, to zakres i stałe zwiększanie skali kampanii wykorzystującej opisywane niedoskonałości PHP.
W zeszłym tygodniu Cisco ostrzegało, że od stycznia 2025 r. omawiana luka w zabezpieczeniach była wykorzystywana w złośliwej kampanii skierowanej przeciwko japońskim organizacjom z sektora edukacji, rozrywki, handlu elektronicznego, technologii i telekomunikacji.
W ramach ataków hakerzy uruchamiają narzędzia, aby uzyskać uprawnienia systemowe, modyfikują klucze rejestru i dodają zaplanowane zadania w celu osiągnięcia trwałości, a także tworzą złośliwe usługi przy użyciu wtyczek zestawu Cobalt Strike „TaoWu”.
W marcu GreyNoise podał informację, że eksploatacja CVE-2024-4577 nie ogranicza się do Japonii. W rzeczywistości zauważalne wzrosty aktywności zaobserwowano również w USA, Wielkiej Brytanii, Singapurze, Indonezji, Tajwanie, Hongkongu, Indiach, Hiszpanii oraz Malezji.
„Global Observation Grid (GOG) GreyNoise – światowa sieć honeypotów – wykryła 1089 unikalnych adresów IP próbujących wykorzystać lukę CVE-2024-4577 tylko w styczniu 2025 r.” – podała firma zajmująca się cyberbezpieczeństwem, ostrzegając jednocześnie, że istnieje 79 publicznie dostępnych exploitów ukierunkowanych na tę podatność.
W ciągu ostatniego miesiąca ponad 43% adresów IP używanych w atakach ukierunkowanych na CVE-2024-4577 pochodziło z Niemiec i Chin, a GreyNoise w lutym zaobserwowało wzrost wykorzystania luk w systemach na całym świecie, co „sugeruje dodatkowe automatyczne skanowanie podatnych celów”.
Podatność CVE-2024-4577 ma wpływ na wszystkie wersje PHP w systemie Windows. Została rozwiązana w wersjach PHP 8.1.29, 8.2.20 i 8.3.8. Użytkownikom zaleca się aktualizację instalacji tak szybko, jak to możliwe!