Bí Mật Về Lỗ Hổng RCE PHP-CGI: Chiến Lược Phòng Ngừa Hiệu Quả

07/03/2025
1 mins read
Nội dung
Thông Tin Về Lỗ Hổng RCE trong PHP-CGI
Tổng Quan Về Lỗ Hổng
Phương Pháp Tấn Công
Truy Cập Ban Đầu và Hậu Khai Thác
Các Công Cụ và Khung Công Tác Được Sử Dụng
Chiến Lược Giảm Thiểu

Thông Tin Về Lỗ Hổng RCE trong PHP-CGI

Bài báo bàn về việc khai thác một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong các cài đặt PHP trên Windows sử dụng cấu hình CGI, cụ thể là CVE-2024-4577. Dưới đây là các điểm chính từ bài viết:

Tổng Quan Về Lỗ Hổng

CVE-2024-4577 là một lỗ hổng RCE nghiêm trọng trong việc triển khai PHP-CGI trên Windows. Lỗ hổng này phát sinh từ hành vi “Best-Fit” trong các trang mã của Windows, nơi mà một số ký tự bị thay thế trong các đầu vào dòng lệnh, dẫn đến việc bị hiểu sai bởi mô-đun PHP-CGI.

Phương Pháp Tấn Công

Các kẻ tấn công lợi dụng một kịch bản khai thác Python có sẵn công khai, PHP-CGI_CVE-2024-4577_RCE.py, để kiểm tra các lỗ hổng. Kịch bản này gửi một yêu cầu POST được tạo ra một cách đặc biệt đến một URL mục tiêu với mã PHP được thiết kế để kích hoạt lỗ hổng. Nếu thành công, nó yêu cầu người dùng nhập các lệnh dưới dạng mã PHP sẽ được thực thi trên các máy chủ bị tổn thương.

Truy Cập Ban Đầu và Hậu Khai Thác

Các kẻ tấn công chiếm quyền truy cập ban đầu bằng cách khai thác CVE-2024-4577. Khi đã vào được, họ thực thi các kịch bản PowerShell để triển khai mã shell HTTP đảo ngược của Cobalt Strike, đảm bảo quyền truy cập từ xa liên tục. Các hoạt động sau khai thác bao gồm nâng cao đặc quyền, đánh cắp thông tin xác thực và di chuyển ngang bằng cách sử dụng các plugin từ bộ công cụ Cobalt Strike có sẵn công khai “TaoWu”.

Các Công Cụ và Khung Công Tác Được Sử Dụng

Các kẻ tấn công sử dụng nhiều công cụ và khung công tác khác nhau, bao gồm:

  • Cobalt Strike: Dùng cho các hoạt động duy trì và sau khai thác.
  • BeEF: Một khung khai thác trình duyệt cho việc thực thi lệnh thông qua trình duyệt web đã bị đánh cắp.
  • Blue-Lotus: Một webshell JavaScript cho khai thác XSS và trình duyệt.
  • Viper C2: Một khung điều khiển mô-đun cho việc thực thi mã tải trên nhiều nền tảng.

Chiến Lược Giảm Thiểu

Các tổ chức nên cập nhật ngay các hệ thống để khắc phục CVE-2024-4577.

  • Hạn chế việc thực thi PowerShell bằng cách sử dụng chính sách nhóm.
  • Giám sát nhật ký để phát hiện các sửa đổi không có thẩm quyền trong registry.

Việc khai thác CVE-2024-4577 làm nổi bật xu hướng hiện tại của các tác nhân đe dọa nhắm đến các ứng dụng công khai để có quyền truy cập ban đầu, nhấn mạnh sự cần thiết cho các tổ chức phải luôn cảnh giác trước những chiến thuật đối đầu đang phát triển.

Nguồn: https://thehackernews.com/2025/03/php-cgi-rce-flaw-exploited-in-attacks.html

Tags