Vulnerability Description:
Lỗ hổng là một lỗi thực thi mã từ xa trong triển khai PHP-CGI của PHP trên Windows. Nó cho phép kẻ tấn công tiêm mã độc và giành quyền truy cập ban đầu vào máy tính của nạn nhân.
Initial Disclosure and Patching:
Lỗ hổng đã được công bố lần đầu vào tháng 6 năm 2024. Các bản vá được phát hành ngay sau đó, nhưng lỗ hổng vẫn tiếp tục bị khai thác.
Exploitation Activity:
Việc khai thác CVE-2024-4577 đã thấy hoạt động đáng kể, với các đỉnh nổi bật ở Hoa Kỳ, Singapore, Nhật Bản và nhiều quốc gia khác kể từ tháng 1 năm 2025. GreyNoise đã phát hiện ra sự gia tăng phối hợp trong các nỗ lực khai thác trên nhiều khu vực.
Attack Methods:
Kẻ tấn công đã khai thác lỗ hổng này để đánh cắp thông tin xác thực, thiết lập độ bền trên hệ thống mục tiêu và triển khai các công cụ thù địch như tín hiệu Cobalt Strike và bộ công cụ TaoWu.
Mitigation and Recommendations:
Các tổ chức có hệ thống Windows trên internet đang cung cấp PHP-CGI nên ngay lập tức cập nhật lên phiên bản PHP đã vá mới nhất. Ngoài ra, họ nên thực hiện truy quét để xác định các mẫu khai thác tương tự và thực hiện các biện pháp bảo mật nghiêm ngặt để ngăn chặn các cuộc tấn công tiếp theo.
Practical Example of Exploitation:
Attack Scenario:
Một kẻ tấn công khai thác CVE-2024-4577 bằng cách tiêm mã độc vào triển khai PHP-CGI. Điều này cho phép họ thực thi mã tùy ý trên máy của nạn nhân, dẫn đến sự thỏa hiệp hoàn toàn của hệ thống.
Post-Exploitation Activities:
Sau khi giành được quyền truy cập, kẻ tấn công có thể thực hiện nhiều hoạt động độc hại khác nhau như đánh cắp thông tin xác thực, thiết lập độ bền, nâng cao quyền hạn đến mức hệ thống và triển khai phần mềm độc hại bổ sung như webshells và ransomware.
Related Vulnerability: GiveWP Donation Plugin
Một lỗ hổng nghiêm trọng khác ảnh hưởng đến các trang web WordPress là CVE-2025-0912 trong plugin GiveWP Donation. Lỗ hổng này cho phép thực hiện các cuộc tấn công thực thi mã từ xa không xác thực, làm lộ hơn 100,000 trang WordPress trước các mối đe dọa tiềm ẩn.
Mitigation for GiveWP Plugin Vulnerability:
- Update to Latest Version:
Các quản trị viên trang web phải ngay lập tức cập nhật lên GiveWP 3.20.0 hoặc phiên bản mới hơn để sửa lỗi. - Audit Server Logs:
Giám sát nhật ký máy chủ để tìm kiếm các yêu cầu POST đáng ngờ tới /wp-json/givewp/v3/donations. - Deploy Web Application Firewall (WAF) Rules:
Chặn dữ liệu tuần tự trong các tham số card_address để ngăn ngừa khai thác. - Monitor for Unauthorized Changes:
Theo dõi các thay đổi tệp không được phép hoặc người dùng quản trị mới để phát hiện các hoạt động sau khai thác tiềm năng.
Conclusion:
Lỗ hổng PHP nghiêm trọng CVE-2024-4577 đã bị khai thác rộng rãi, ảnh hưởng đến các tổ chức trên toàn cầu. Cần hành động ngay lập tức để cập nhật các cài đặt PHP và thực hiện các biện pháp bảo mật chắc chắn để ngăn chặn các cuộc tấn công tiếp theo. Thêm vào đó, lỗ hổng plugin GiveWP Donation nhấn mạnh tầm quan trọng của việc kiểm tra định kỳ các plugin và cập nhật kịp thời để ngăn ngừa các cuộc tấn công RCE.
