Tehdit İstihbarat Şirketi Greynoise, Windows sistemlerini etkileyen kritik bir PHP uzaktan kod yürütme kırılganlığının artık kitlesel sömürü altında olduğu konusunda uyarıyor.
CVE-2024-4577 olarak izlenen bu PHP-CGI argümanı enjeksiyon kusuru Haziran 2024’te yamalandı ve PHP’nin CGI modunda çalışan Windows PHP kurulumlarını etkiliyor. Başarılı sömürü, kimlik doğrulanmamış saldırganların keyfi kod yürütmesini sağlar ve başarılı sömürü takiben tam sistem uzlaşmasına yol açar.
PHP bakıcılarının 7 Haziran 2024’te CVE-2024-4577 yamalarını yayınladıktan bir gün sonra, WatchTowr Labs Concept of Monsept (POC) istismar kodu yayınladı ve Shadowserver Foundation, gözlemden yararlanma girişimlerini bildirdi.
Geynoise’nin uyarısı, Cisco Talos’un daha önce bilinmeyen bir saldırganın en azından Ocak 2025’in başından beri Japon kuruluşlarını hedeflemek için aynı PHP güvenlik açığını kullandığını açıklamasının ardından geliyor.
Talos, kimlik bilgilerini çalmaya çalışan saldırganları gözlemlerken, hedeflerinin, kalıcılığın oluşturulmasını, sistem seviyesine kadar ayrıcalıkları yükseltmeyi, olumsuz araçların ve çerçevelerin konuşlandırılmasını ve “taowu” kobalt grev kiti eklentisinin kullanımına dayanan sadece kimlik bilgisi hasatının ötesine geçtiğine inanıyor.
Yeni saldırılar dünya çapında hedeflere genişliyor
Bununla birlikte, Geynoise’in bildirdiği gibi, bu kötü niyetli etkinliğin arkasındaki tehdit aktörleri, küresel olarak savunmasız cihazları hedefleyerek çok daha geniş bir ağ oluşturdu ve ABD, Singapur, Japonya ve diğer ülkelerde Ocak 2025’ten bu yana önemli artışlar gözlendi.
Yalnızca Ocak ayında, Global Gözlem Grid (GOG) olarak bilinen dünya çapında balpot ağı, bu PHP güvenlik kusurunu kullanmaya çalışan 1.089 benzersiz IP adresi gördü.
“İlk raporlar Japonya’daki saldırılara odaklanırken, Geynoise verileri sömürünün çok daha yaygın olduğunu doğrular [..] Tehdit istihbarat firması, son 30 gün içinde CVE-2024-4577’yi hedefleyen IPS’nin% 43’ünden fazlası Almanya ve Çin’den geliyor. “Dedi.
“Şubat ayında Greynoise, birden fazla ülkedeki ağlara karşı sömürü girişimlerinde koordineli bir artış tespit etti ve bu da savunmasız hedefler için ek otomatik tarama önerdi.”
Daha önce, CVE-2024-4577, Msupedge olarak adlandırılan yeni keşfedilen kötü amaçlı yazılımlarla Tayvan’daki bir üniversitenin Windows sistemlerini geri yükleyen bilinmeyen saldırganlar tarafından kullanıldı.
Tellyouthepass fidye yazılımı çetesi, yamaların Haziran 2024’te piyasaya sürülmesinden 48 saatten kısa bir süre sonra web kabuklarını ve kurbanların sistemlerini şifreleme için kırılganlıktan yararlanmaya başladı.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.