-
09/04/2020
-
94
-
701 bài viết
Lỗ hổng RCE nghiêm trọng trong PHP đang bị khai thác hàng loạt
Lỗ hổng thực thi mã từ xa PHP nghiêm trọng ảnh hưởng đến hệ thống Windows hiện đang bị khai thác hàng loạt. Được theo dõi với mã CVE-2024-4577 (CVSS là 9,8), lỗ hổng chèn tham số PHP-CGI này ảnh hưởng đến các cài đặt PHP trên Windows với PHP chạy ở chế độ CGI. Việc khai thác thành công cho phép những kẻ tấn công chưa xác thực thực thi mã tùy ý và dẫn đến việc xâm phạm toàn bộ hệ thống sau khi khai thác thành công.
Mặc dù lỗ hổng đã được vá vào tháng 6/2024, nhưng các cuộc tấn công vẫn gia tăng mạnh mẽ sau khi mã khai thác công khai được phát hành. Các tổ chức đang sử dụng PHP ở chế độ CGI trên Windows cần hành động ngay lập tức để giảm thiểu rủi ro.
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản PHP chạy trên hệ điều hành Windows, cụ thể:
Các chuyên gia bảo mật khuyến cáo các tổ chức và cá nhân thực hiện ngay các biện pháp sau để giảm thiểu rủi ro:
Cập nhật ngay phiên bản PHP mới nhất nếu đang chạy trên Windows với CGI mode
Tắt chế độ PHP-CGI nếu không cần thiết
Giám sát hệ thống để phát hiện các dấu hiệu tấn công sớm
Cấu hình firewall để chặn các yêu cầu độc hại đến máy chủ PHP
Kiểm tra hệ thống để đảm bảo không có dấu vết của backdoor hoặc webshell
Lỗ hổng CVE-2024-4577 tiếp tục là một mối đe dọa nghiêm trọng với các hệ thống chưa được cập nhật. Các tổ chức cần hành động ngay để tránh trở thành nạn nhân của các cuộc tấn công này.
Mặc dù lỗ hổng đã được vá vào tháng 6/2024, nhưng các cuộc tấn công vẫn gia tăng mạnh mẽ sau khi mã khai thác công khai được phát hành. Các tổ chức đang sử dụng PHP ở chế độ CGI trên Windows cần hành động ngay lập tức để giảm thiểu rủi ro.
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản PHP chạy trên hệ điều hành Windows, cụ thể:
- PHP 8.3 trước phiên bản 8.3.8
- PHP 8.2 trước phiên bản 8.2.20
- PHP 8.1 trước phiên bản 8.1.29
- Duy trì quyền truy cập vào hệ thống bị xâm nhập.
- Leo thang đặc quyền lên cấp độ SYSTEM.
- Triển khai công cụ tấn công và framework độc hại.
- Sử dụng plugin "TaoWu" của Cobalt Strike.
- Cài đặt webshell
- Mã hóa dữ liệu của nạn nhân
Các chuyên gia bảo mật khuyến cáo các tổ chức và cá nhân thực hiện ngay các biện pháp sau để giảm thiểu rủi ro:
Cập nhật ngay phiên bản PHP mới nhất nếu đang chạy trên Windows với CGI mode Tắt chế độ PHP-CGI nếu không cần thiết Giám sát hệ thống để phát hiện các dấu hiệu tấn công sớm Cấu hình firewall để chặn các yêu cầu độc hại đến máy chủ PHP Kiểm tra hệ thống để đảm bảo không có dấu vết của backdoor hoặc webshellLỗ hổng CVE-2024-4577 tiếp tục là một mối đe dọa nghiêm trọng với các hệ thống chưa được cập nhật. Các tổ chức cần hành động ngay để tránh trở thành nạn nhân của các cuộc tấn công này.
Theo Bleeping Computer