CEH v13 AI – CEH VIETNAM

Lỗ hổng RCE nghiêm trọng trong PHP bị khai thác hàng loạt trong các cuộc tấn công mới

Công ty tình báo mối đe dọa GreyNoise cảnh báo rằng một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong PHP ảnh hưởng đến các hệ thống Windows hiện đang bị khai thác hàng loạt. Được theo dõi là CVE-2024-4577, lỗ hổng injection tham số PHP-CGI này đã được vá vào tháng…

IT-PRO

Công ty tình báo mối đe dọa GreyNoise cảnh báo rằng một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong PHP ảnh hưởng đến các hệ thống Windows hiện đang bị khai thác hàng loạt. Được theo dõi là CVE-2024-4577, lỗ hổng injection tham số PHP-CGI này đã được vá vào tháng 6 năm 2024 và ảnh hưởng đến các cài đặt PHP trên Windows khi PHP chạy ở chế độ CGI. Khai thác thành công cho phép kẻ tấn công chưa được xác thực thực thi mã tùy ý và dẫn đến toàn bộ hệ thống bị xâm nhập sau khi khai thác thành công

Một ngày sau khi các nhà bảo trì PHP phát hành các bản vá CVE-2024-4577 vào ngày 7 tháng 6 năm 2024, WatchTowr Labs đã phát hành mã khai thác proof-of-concept (PoC), và Shadowserver Foundation đã báo cáo quan sát thấy các nỗ lực khai thác. Cảnh báo của GreyNoise được đưa ra sau khi Cisco Talos tiết lộ trước đó rằng một kẻ tấn công không xác định đã khai thác cùng một lỗ hổng PHP để nhắm mục tiêu vào các tổ chức Nhật Bản ít nhất là từ đầu tháng 1 năm 2025. Trong khi Talos quan sát thấy những kẻ tấn công cố gắng đánh cắp thông tin đăng nhập, họ tin rằng mục tiêu của chúng không chỉ dừng lại ở việc thu thập thông tin đăng nhập, dựa trên các hoạt động sau khai thác, bao gồm thiết lập quyền duy trì, leo thang đặc quyền lên cấp độ HỆ THỐNG, triển khai các công cụ và framework đối địch, và sử dụng các plugin Cobalt Strike kit “TaoWu”.

Các cuộc tấn công mới mở rộng ra các mục tiêu trên toàn thế giới

Tuy nhiên, theo báo cáo của GreyNoise, các tác nhân đe dọa đằng sau hoạt động độc hại này đã mở rộng phạm vi tấn công bằng cách nhắm mục tiêu vào các thiết bị dễ bị tấn công trên toàn cầu, với sự gia tăng đáng kể được quan sát thấy ở Hoa Kỳ, Singapore, Nhật Bản và các quốc gia khác kể từ tháng 1 năm 2025. Chỉ riêng trong tháng 1, mạng lưới honeypot toàn cầu (GOG) của họ đã phát hiện 1.089 địa chỉ IP duy nhất cố gắng khai thác lỗ hổng bảo mật PHP này. “Trong khi các báo cáo ban đầu tập trung vào các cuộc tấn công ở Nhật Bản, dữ liệu của GreyNoise xác nhận rằng việc khai thác đã lan rộng hơn nhiều […] Hơn 43% địa chỉ IP nhắm mục tiêu vào CVE-2024-4577 trong 30 ngày qua đến từ Đức và Trung Quốc,” công ty tình báo mối đe dọa cho biết, đồng thời cảnh báo rằng có ít nhất 79 exploit có sẵn trực tuyến.

“Vào tháng Hai, GreyNoise đã phát hiện một đợt tăng đột biến có phối hợp trong các nỗ lực khai thác nhắm vào các mạng ở nhiều quốc gia, cho thấy việc quét tự động bổ sung các mục tiêu dễ bị tấn công”. Trước đây, CVE-2024-4577 đã bị khai thác bởi những kẻ tấn công không xác định, những kẻ đã cài backdoor vào các hệ thống Windows của một trường đại học ở Đài Loan bằng một phần mềm độc hại mới được phát hiện có tên Msupedge. Băng đảng ransomware TellYouThePass cũng bắt đầu khai thác lỗ hổng này để triển khai webshell và mã hóa hệ thống của nạn nhân chưa đầy 48 giờ sau khi các bản vá được phát hành vào tháng 6 năm 2024.

Dong Duong

Bình luận về bài viết này

Thịnh hành