ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

14.06.2024 264 2 мин.

CVE-2024-4577: Продолжается использование критической уязвимости в PHP

Критическая уязвимость удаленного выполнения кода (RCE), CVE-2024-4577, была обнаружена и передана в официальную команду PHP 7 мая 2024 года главным исследователем безопасности Devcore Оранж Цай (Orange Tsai). Эта уязвимость возникает из-за ошибок в преобразовании кодировок символов, что особенно влияет на функцию "Наилучшего соответствия" в операционных системах Windows. 6 июня 2024 года команда разработчиков PHP выпустила официальный патч для устранения проблемы. Однако 8 июня исследователи в области кибербезопасности из Imperva сообщили о первом случае, когда злоумышленники использовали эту уязвимость в кампании по вымогательству TellYouThePass. Cyble Global Sensor Intelligence (CGSI) обнаружила несколько попыток сканирования, связанных с CVE-2024-4577, в том числе одну, связанную с вредоносной кампанией Muhstik, которая специально нацелена на устройства Интернета вещей и серверы на базе Linux. WatchTowr Labs опубликовала код эксплойта для проверки работоспособности (PoC) CVE-2024-4577 на следующий день после выхода исправления, и начиная с 8 июня 2024 года CGSI фиксировала попытки использования этой уязвимости, направленные на ее устранение. Организации должны уделять приоритетное внимание немедленным обновлениям и стратегиям смягчения последствий, чтобы защитить свои системы от этих активных и постоянно меняющихся попыток использования уязвимостей.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT для обеспечения более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://cyble.com/blog/cve-2024-4577-ongoing-exploitation-of-a-critical-php-vulnerability/

Примеры признаков компромисса:

• 183.56.201.169
• 39.97.209.211
• 14.225.53.162
• 47.94.155.169
• 14.116.254.172

Источник: TTL OSINT