Yaygın siber saldırı altında kritik PHP güvenlik açığı

Dalış Kılavuzu:

• Grinnoise, Cuma günü bir blog yazısında, Windows sistemlerindeki PHP kurulumlarını etkileyen kritik bir argüman enjeksiyon kırılganlığı olan CVE-2024-4577, ABD ve Birleşik Krallık gibi birçok ülkede yaygın bir şekilde sömürüldü.
• Bir Censys raporuna göre, PHP güvenlik açığı ilk olarak geçen Haziran ayında açıklandı ve tellyourpass fidye yazılımları da dahil olmak üzere çeşitli tehdit aktörleri ve kötü amaçlı yazılım kampanyalarının saldırısına başladı.
• Cisco Talos, geçen hafta CVE-2024-4577 tarihli son saldırıları Japonya’daki hedeflere karşı bilinmeyen bir tehdit aktörü tarafından bildirdi. Ancak Greynoise, kırılganlığın birçok ülkede kitlesel sömürü altına girdiğini söyledi.

Dalış içgörü:

Sömürülmesi Windows cihazları için PHP kurulumlarının tüm sürümlerini etkileyen CVE-2024-4577, hedeflenen sistemlerde uzaktan kod yürütmeyi etkinleştirebilir. PHP güvenlik açığı konusundaki son saldırılar ilk olarak Japonya ile sınırlı görünse de Greynoise, durumun böyle olmadığını söyledi.

Tehdit istihbarat firması blog yazısında, “Grinnoise verileri, CVE-2024-4577’nin sömürülmesinin ilk raporların çok ötesine uzandığını doğruladı” dedi. “Ocak 2025’te ABD, Singapur, Japonya ve diğer ülkelerde dikkate değer artışlarla birlikte birden fazla bölgede saldırı girişimleri gözlemlendi.”

Greynoise’in küresel honeypot ağından gelen telemetri verileri, İspanya, Birleşik Krallık, Hindistan, Tayvan ve Malezya’yı içeren ülkelerde Ocak ve Şubat aylarında kayda değer ani artışlarla ilk kez sömürü faaliyeti dalgası gösteriliyor. Şirket, sadece Ocak ayında 1.089 benzersiz IP adresinden sömürü girişimlerini gözlemlediğini ve son 30 günde saldırı başlatan IP adreslerinin% 40’ından fazlasının Almanya ve Çin’de bulunduğunu söyledi.

Kitle sömürüsünün tek bir kaynaktan kaynaklanıp kaynaklanmadığı belirsizdir. Şirket, “Şubat ayında Geynoise, birden fazla ülkedeki ağlara karşı sömürü girişimlerinde koordineli bir artış tespit etti ve savunmasız hedefler için ek otomatik tarama önerdi” dedi.

Cisco Talos araştırmacıları, telekom, teknoloji ve eğitim de dahil olmak üzere çeşitli endüstrilerdeki Japon organizasyonlarına karşı ilk erişim için kusurdan yararlanan bilinmeyen bir tehdit oyuncusu gözlemledi. Saldırılar Ocak ayında başladı ve “Taowu” adı verilen bir kobalt grev kiti için eklentilerin kullanılmasını içeriyordu.

Cisco Talos’un Chetan Raghuprasad blog yazısında “Talos saldırganın kurbanın makine kimlik bilgilerini çalma girişimini fark etti,” diye yazdı. “Bununla birlikte, saldırganın nedeninin, kalıcılık oluşturmak, sistem seviyesi ayrıcalığına yükselme ve gelecekteki saldırılar olasılığını gösteren olumsuz çerçevelere potansiyel erişim gibi diğer sömürme sonrası faaliyetleri gözlemlememize dayanarak, sadece kimlik bilgisi hasatının ötesine geçtiğine dair ılımlı güvenle değerlendiriyoruz.