Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Глобальная угроза: уязвимость CVE-2024-4577 атакует организации

21
2 мин
Согласно недавнему отчету компании Cisco Talos, в Японии была выявлена сложная кампания атак, использующая критическую уязвимость CVE-2024-4577, способствующую удаленному выполнению кода на PHP-CGI. Эта уязвимость представляет собой серьезную угрозу для безопасности организаций и уже содержит 79 доступных эксплойтов. Эксплуатация уязвимости в основном заключается в установке PHP-CGI на системах Windows. Злоумышленники, используя этот инструмент, внедряют маяки Cobalt Strike и продолжают атакующие действия с помощью инструментария TaoWu toolkit. Основные методы атаки включают: Злоумышленники используют инфраструктуру управления (C2), размещенную в облаке Alibaba Cloud. Серверы этой инфраструктуры располагаются по следующими IP-адресам: Чтобы скрыть свои действия, злоумышленники создают строки пользовательского агента HTTP, имитирующие старые версии Internet Explorer. Телеметрические данные от GreyNoise показывают, что попытки эксплуатации CVE-2024-4577 выходят за рамки Японии. В январе
Оглавление
Источник: www.greynoise.io
Источник: www.greynoise.io

Согласно недавнему отчету компании Cisco Talos, в Японии была выявлена сложная кампания атак, использующая критическую уязвимость CVE-2024-4577, способствующую удаленному выполнению кода на PHP-CGI. Эта уязвимость представляет собой серьезную угрозу для безопасности организаций и уже содержит 79 доступных эксплойтов.

Механизм атак

Эксплуатация уязвимости в основном заключается в установке PHP-CGI на системах Windows. Злоумышленники, используя этот инструмент, внедряют маяки Cobalt Strike и продолжают атакующие действия с помощью инструментария TaoWu toolkit. Основные методы атаки включают:

  • Использование HTTP POST-запросов с хэшем MD5: e10adc3949ba59abbe56e057f20f883e, что сигнализирует о успешной эксплуатации;
  • Применение скриптов PowerShell для извлечения обратного HTTP-шеллкода, связанного с Cobalt Strike;
  • Доступ к указанным URL-адресам для загрузки вредоносных скриптов, таких как http://38.14.255.23:8000/payload.ps1.

Инфраструктура атак

Злоумышленники используют инфраструктуру управления (C2), размещенную в облаке Alibaba Cloud. Серверы этой инфраструктуры располагаются по следующими IP-адресам:

  • 38.14.255.23
  • 118.31.18.77

Чтобы скрыть свои действия, злоумышленники создают строки пользовательского агента HTTP, имитирующие старые версии Internet Explorer.

Глобальный масштаб проблемы

Телеметрические данные от GreyNoise показывают, что попытки эксплуатации CVE-2024-4577 выходят за рамки Японии. В январе 2025 года Глобальная сеть наблюдения зарегистрировала:

  • 1089 уникальных IP-адресов, пытающихся использовать эту уязвимость;
  • Активность в различных регионах, включая Соединенные Штаты, Сингапур и Японию.

Удивительно, что более 43% всех попыток были зарегистрированы в Германии и Китае, что подчеркивает глобальный характер угрозы.

Рекомендации

С учетом отмеченного в феврале 2025 года скоординированного роста числа попыток эксплуатации, особенно важно принимать меры по обеспечению безопасности. Cisco Talos рекомендует:

  • Выявлять и блокировать вредоносные IP-адреса, активно нацеленные на CVE-2024-4577;
  • Усиливать защитные меры для снижения общего риска кибератак.

Необходимость действий правозащитников становится всё более актуальной в условиях роста автоматизированного сканирования уязвимых объектов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Глобальная угроза: уязвимость CVE-2024-4577 атакует организации".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются