Författare
SOC @ Asurgent
Read time
2 min
14 mars 2025
En ny och allvarlig sårbarhet i PHP har nu börjat utnyttjas i stor skala varnar hotunderrättelseföretaget GreyNoise. Sårbarheten, som identifieras som CVE-2024-4577, gör det möjligt för angripare att genomföra fjärrkörning av kod (RCE) på Windows-system som kör PHP i CGI-läge. Trots att sårbarheten patchades den 7de juni 2024 är många system fortfarande oskyddade och utnyttjas fortfarande.
Endast en dag efter att en patch släpptes, publicerade WatchTowr en proof of concept (PoC) exploit, och Shadowserver Foundation rapporterade att de såg försök att utnyttja sårbarheten.
Cisco Talos upptäckte i januari 2025 att japanska organisationer attackerades, där de stjäl inloggningsuppgifter och utför mer avancerade intrång som eskalering av behörigheter och installation av skadlig kod.
Enligt Cisco Talos rapport används flera metoder av angriparna, inklusive utnyttjande av PHP-sårbarheten CVE-2024-4577 för att få initial åtkomst. Angriparna använder sedan verktyg som Cobalt Strike för att eskalera privilegier, upprätthålla åtkomst och samla in inloggningsuppgifter. De modifierar också systemregister och använder PowerShell-skript för att bibehålla åtkomst och utföra kartläggning av nätverket.
Data från GreyNoise visar nu att attackerna har spridit sig globalt. I januari identifierades över 1 089 IP-adresser som försökte utnyttja sårbarheten, och i februari ökade attackerna kraftigt, särskilt i USA, Singapore, Tyskland och Kina.
Så skyddar du dig
För att minska risken för angrepp bör alla som kör PHP på Windows:
1. Uppdatera PHP till den senaste versionen.
2. Undvika att köra PHP i CGI-läge om möjligt.
3. Övervaka nätverkstrafik och misstänkta aktiviteter.
4. Begränsa extern åtkomst till servrar med PHP.
Prenumerera på vårt cybersäkerhetsnyhetsbrev för att ha koll på senaste nytt inom cyberfären.