شرکت اطلاعاتی تهدید GreyNoise هشدار داد که آسیبپذیری حیاتی اجرای کد از راه دور PHP که بر سیستمهای ویندوز تأثیر میگذارد، اکنون تحت اکسپلویت انبوه قرار دارد.
نقص امنیتی تزریق آرگومان PHP-CGI با شناسه CVE-2024-4577 که در ژوئن 2024 وصله شد، بر نصبهای PHP ویندوز با PHP در حال اجرا در حالت CGI تأثیر میگذارد. اکسپلویت موفقیتآمیز، نفوذگران غیرمجاز را قادر به اجرای کد دلخواه میسازد و سبب به خطر افتادن کامل سیستم میشود. اندکی پس از انتشار وصلههای CVE-2024-4577 در 7 ژوئن 2024، آزمایشگاههای WatchTowr کد اکسپلویت PoC آن را منتشر کردند و بنیاد Shadowserver گزارش داد که شاهد تلاشهای اکسپلویت از این نقص است. Cisco Talos که تلاش مهاجمان را برای سرقت اعتبار رویت کرد، معتقد است که بر اساس فعالیتهای پس از اکسپلویت که شامل استقرار پایداری، ارتقای دسترسی به سطح SYSTEM، استقرار ابزارها و چارچوبهای متخاصم و استفاده از پلاگینهای“TaoWu” Cobalt Strike، اهداف آنها فراتر از برداشت اعتبار است. بر اساس گزارش GreyNoise، عوامل تهدید در فعالیتی مخرب، شبکه بسیار گستردهای را با هدف قرار دادن دستگاههای آسیبپذیر در سطح جهان به ویژه در ایالات متحده، سنگاپور، ژاپن ایجاد کردند. تنها در ماه ژانویه، ۱.۰۸۹ آدرس IP منحصر به فرد شناسایی شد که تلاش میکردند از نقص نامبرده سوء استفاده کنند. در حالی که گزارشهای اولیه بر حملات در ژاپن متمرکز بود، اما بیش از 43 درصد از IPها در بهرهبرداری گسترده اخیر متعلق به آلمان و چین هستند.
https://www.bleepingcomputer.com/news/security/critical-php-rce-vulnerability-mass-exploited-in-new-attacks/
