Компания Cyble Global Sensor Intelligence (CGSI) обнаружила многочисленные попытки сканирования, связанные с CVE-2024-4577, исходящие из различных мест. Уязвимость связана с ошибками в преобразовании кодировки символов, в частности, затрагивая функцию "Best Fit" в операционных системах Windows. Эксплуатация этого недостатка может позволить злоумышленникам удаленно выполнить произвольный код, что представляет значительный риск для безопасности установок PHP всех версий, работающих на платформах Windows.
7 июня PHP выпустил официальный патч для устранения уязвимости. На следующий день WatchTowr Labs опубликовала код эксплойта для CVE-2024-4577, и злоумышленники воспользовались уязвимостью для распространения вымогательского ПО на уязвимых системах. CGSI сообщает о нескольких вредоносных кампаниях, связанных с этой новой уязвимостью, в том числе о кампании TellYouThePass ransomware и вредоносной программе Muhstik.
CVE-2024-4577 явно влияет на режим CGI PHP, в котором веб-сервер интерпретирует HTTP-запросы и передает их PHP-скрипту для обработки. Если в параметре URL используется такой символ, как мягкий дефис (0xAD), обработчик CGI на Windows, следуя своему наилучшему отображению, может интерпретировать этот символ иначе, чем предполагалось. Такая неправильная интерпретация позволяет злоумышленнику выполнить произвольный код на уязвимом PHP-сервере.
По данным CGSI, количество потенциально уязвимых экземпляров PHP угрожающе велико. Организациям следует в первую очередь обновить систему до последних версий PHP: 8.3.8, 8.2.20 и 8.1.29.
Indicators of Compromise
IPv4
- 101.132.154.203
- 120.92.12.14
- 14.116.254.172
- 14.225.53.162
- 183.56.201.169
- 193.143.1.88
- 222.216.206.99
- 39.97.209.211
- 47.94.155.169
- 51.79.19.53
- 93.123.118.191
