PHP-CGI sérülékenység széleskörű kihasználása (CVE-2024-4577)
A Cisco Talos nemrégiben egy kifinomult támadási kampányt fedezett fel, amely során japán szervezeteket céloztak meg kiberszereplők a CVE-2024-4577 sérülékenység kihasználásán keresztül, amely egy kritikus PHP-CGI távoli kódfuttatási hiba, amelyhez 79 exploit áll rendelkezésre. Míg a Talos a viktimológiára és a támadók tevékenységére összpontosított, a GreyNoise telemetria egy sokkal szélesebb körű kihasználási mintát tár fel.
A Cisco jelentése szerint egy kiberszereplő kihasználta a CVE-2024-4577 sérülékenységet, hogy hozzáférést szerezzen az áldozatok rendszereihez. A behatolást követően a támadó a nyilvánosan elérhető Cobalt Strike eszközkészlet TaoWu nevű pluginjait használta a további műveletekhez. A kiberszereplő különböző üzleti szektorokban működő japán szervezeteket célzott meg, beleértve a technológiai, telekommunikációs, szórakoztatóipari, oktatási és e-kereskedelmi ágazatokat. A CVE-2024-4577 sérülékenység javítása tavaly nyáron megjelent.
A GreyNoise adatai megerősítik, hogy a CVE-2024-4577 kihasználása messze túlmutat a kezdeti jelentéseken. A támadási kísérleteket több régióban is megfigyelték 2025 januárjában. Az Egyesült Államokban, Szingapúrban, Japánban és más országokban is jelentős kiugrások voltak tapasztalhatók. A GreyNoise a globális honeypot rendszerén csak 2025 januárjában 1089 egyedi IP-t észlelt, amelyek megpróbálták kihasználni a CVE-2024-4577 sérülékenységet.
Azoknak a szervezeteknek, amelyek PHP-CGI-t tartalmazó, internetre néző Windows rendszerekkel rendelkeznek, javasolt retrospektív elemzést végezni a kihasználási minták azonosítása érdekében.
