Tổng quan về lỗ hổng
Lỗ hổng, được theo dõi dưới mã CVE-2024-4577, là một lỗ hổng tiêm tham số trong PHP, cho phép kẻ tấn công từ xa thực thi mã tùy ý trên các hệ thống Windows chạy trong chế độ CGI.
Những nỗ lực khai thác
Công ty an ninh mạng Bitdefender đã quan sát thấy sự gia tăng trong các nỗ lực khai thác CVE-2024-4577 từ cuối năm ngoái, với các trọng điểm đáng kể được báo cáo tại Đài Loan (54,65%), Hồng Kông (27,06%), Brazil (16,39%), Nhật Bản (1,57%) và Ấn Độ (0,33%).
Phương pháp tấn công
Khoảng 15% các nỗ lực khai thác được phát hiện liên quan đến các kiểm tra lỗ hổng cơ bản với các lệnh như “whoami” và “echo
Các hoạt động độc hại
Ít nhất khoảng 5% các cuộc tấn công bị phát hiện đã dẫn đến việc triển khai trình khai thác tiền điện tử XMRig. Một chiến dịch nhỏ hơn khác liên quan đến việc triển khai các trình khai thác Nicehash, một nền tảng cho phép người dùng bán sức mạnh tính toán để lấy tiền điện tử. Quy trình khai thác đã được ngụy trang dưới dạng một ứng dụng hợp pháp để tránh bị phát hiện.
Các công cụ truy cập từ xa (RATs)
Các tác nhân đe dọa cũng đã vũ khí hóa lỗ hổng để phân phối các công cụ truy cập từ xa như Quasar RAT mã nguồn mở và thực thi các tệp cài đặt Windows độc hại (MSI) được lưu trữ trên các máy chủ từ xa bằng cmd.exe.
Thay đổi cấu hình tường lửa
Có những nỗ lực để thay đổi cấu hình tường lửa trên các máy chủ dễ bị tấn công nhằm chặn truy cập đến các IP độc hại đã biết liên quan đến lỗ hổng này. Hành vi bất thường này cho thấy có thể các nhóm khai thác tiền điện tử đang cạnh tranh để giành quyền kiểm soát đối với các tài nguyên khả dụng.
Lời khuyên giảm thiểu
Người dùng được khuyên nên cập nhật các cài đặt PHP của họ lên phiên bản mới nhất để bảo vệ khỏi các mối đe dọa tiềm ẩn. Các tổ chức nên xem xét giới hạn việc sử dụng các công cụ như PowerShell trong môi trường chỉ dành cho người dùng có quyền như quản trị viên.
