Hacker khai thác lỗ hổng PHP để phát tán mã độc

Các chuyên gia cảnh báo về việc hacker đang khai thác lỗ hổng PHP CVE-2024-4577 để phát tán mã nhiều dòng mã độc, bao gồm Gh0st RAT, công cụ khai thác tiền điện tử RedTail và XMRig.

CVE-2024-4577 (điểm CVSS: 9,8) là lỗ hổng chèn lệnh PHP-CGI OS. Vấn đề tồn tại trong tính năng Best-Fit của chuyển đổi mã hóa trong hệ điều hành Windows. Kẻ tấn công có thể khai thác lỗ hổng để vượt qua các biện pháp bảo vệ cho lỗ hổng trước đó (CVE-2012-1823). Do đó, hacker có thể thực thi mã tùy ý trên các máy chủ PHP từ xa thông qua một cuộc tấn công chèn đối số, từ đó chiếm quyền kiểm soát các máy chủ ảnh hưởng.

Các nhà nghiên cứu Shadowserver và GreyNoise cho biết, hacker đang tăng cường khai thác lỗ hổng kể từ khi có PoC.

Vào tháng 6, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung lỗ hổng này vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).

Nguồn: Security Affairs