Scroll untuk baca artikel
Networking

Kerentanan php rce yang kritis dieksploitasi dalam serangan baru

110
×

Kerentanan php rce yang kritis dieksploitasi dalam serangan baru

Share this article
kerentanan-php-rce-yang-kritis-dieksploitasi-dalam-serangan-baru
Kerentanan php rce yang kritis dieksploitasi dalam serangan baru

Serangan PHP

Perusahaan Ancaman Intelijen Greynoise memperingatkan bahwa kerentanan eksekusi kode jarak jauh PHP yang kritis yang berdampak pada sistem Windows sekarang berada di bawah eksploitasi massal.

Example 300x600

Dilacak sebagai CVE-2024-4577cacat injeksi argumen PHP-CGI ini ditambal pada Juni 2024 dan mempengaruhi instalasi Windows PHP dengan PHP berjalan dalam mode CGI. Eksploitasi yang berhasil memungkinkan penyerang yang tidak aautentikasi untuk menjalankan kode sewenang -wenang dan mengarah pada kompromi sistem lengkap setelah eksploitasi yang berhasil.

Sehari Setelah Petugas PHP merilis tambalan CVE-2024-4577 pada 7 Juni 2024, Watchtowr Labs merilis Proof-of-Concept (POC) Kode Eksploitasidan The Shadowserver Foundation melaporkan mengamati upaya eksploitasi.

Peringatan Greynoise muncul setelah Cisco Talos terungkap sebelumnya Bahwa penyerang yang tidak dikenal telah mengeksploitasi kerentanan PHP yang sama untuk menargetkan organisasi Jepang sejak setidaknya awal Januari 2025.

Sementara Talos mengamati para penyerang yang berusaha mencuri kredensial, ia percaya bahwa tujuan mereka melampaui pemanenan kredensial yang adil, berdasarkan pada kegiatan pasca-eksploitasi, yang meliputi membangun kegigihan, meningkatkan hak istimewa ke tingkat sistem, penyebaran alat-alat dan kerangka kerja yang bermusuhan, dan penggunaan cobalt strike plugin “taowu”.

Serangan baru berkembang ke target di seluruh dunia

Namun, seperti yang dilaporkan Greynoise, para aktor ancaman di balik aktivitas jahat ini memberikan jaring yang jauh lebih luas dengan menargetkan perangkat yang rentan secara global, dengan peningkatan yang signifikan diamati di Amerika Serikat, Singapura, Jepang, dan negara -negara lain sejak Januari 2025.

Pada bulan Januari saja, jaringan honeypots di seluruh dunia yang dikenal sebagai Global Observation Grid (GOG) melihat 1.089 alamat IP unik Mencoba mengeksploitasi cacat keamanan PHP ini.

“Sementara laporan awal berfokus pada serangan di Jepang, data greynoise menegaskan bahwa eksploitasi jauh lebih luas [..] Lebih dari 43% IP menargetkan CVE-2024-4577 dalam 30 hari terakhir berasal dari Jerman dan Cina, “Perusahaan Ancaman Intelijen dikatakanmemperingatkan bahwa setidaknya 79 eksploitasi tersedia secara online.

“Pada bulan Februari, Greynoise mendeteksi lonjakan terkoordinasi dalam upaya eksploitasi terhadap jaringan di berbagai negara, menunjukkan pemindaian otomatis tambahan untuk target yang rentan.”

Sebelumnya, CVE-2024-4577 dieksploitasi oleh penyerang tak dikenal yang Backdoored sistem windows universitas di Taiwan dengan malware yang baru ditemukan dijuluki Msupedge.

Geng Ransomware Tellyouthepass juga mulai mengeksploitasi kerentanan Untuk menggunakan webshells dan mengenkripsi sistem korban kurang dari 48 jam setelah patch dirilis pada Juni 2024.