【安全资讯】多个威胁行为者利用PHP漏洞CVE-2024-4577传播恶意软件

概要：

近日，多个威胁行为者利用新披露的PHP漏洞CVE-2024-4577传播多种恶意软件。Akamai安全情报响应团队警告称，该漏洞的利用速度极快，已在漏洞披露后的24小时内被观察到攻击尝试。此漏洞的CVSS评分高达9.8，具有极高的危害性。

主要内容：

CVE-2024-4577是一个PHP-CGI操作系统命令注入漏洞，存在于Windows操作系统的编码转换功能中。攻击者可以利用特定字符序列绕过之前的漏洞保护机制，通过参数注入攻击在远程PHP服务器上执行任意代码，从而控制易受攻击的服务器。自漏洞披露和PoC利用代码公开以来，多个威胁行为者已尝试利用该漏洞。

Akamai的研究人员观察到，DDoS僵尸网络Muhstik的幕后黑手也在利用此漏洞。该僵尸网络通过下载名为“pty3”的ELF文件，针对物联网设备和Linux服务器进行加密挖矿和DDoS攻击。该恶意软件还连接到命令和控制域名p.findmeatthe[.]top，并通过互联网中继聊天进行通信。

此外，研究人员还发现了利用该漏洞传播XMRig的攻击活动。攻击者注入依赖于PowerShell脚本的命令，从远程挖矿池下载并执行XMRig脚本，同时清理临时文件以进行混淆。由于各种自动化工具的使用和企业监督的缺乏，攻击者在新漏洞披露后迅速采取行动，给防御者带来了巨大挑战。

报告总结指出，这一PHP漏洞因其高可利用性和威胁行为者的快速采用，成为了一个关键的安全风险。建议用户进行全面的资产评估，验证其使用场景，并更新PHP到最新版本以确保安全。