IT之家 8 月 21 日消息,科技媒體 bleepingcomputer 昨日(8 月 20 日)報(bào)道,有黑客利用近期修復(fù)的 PHP 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2024-4577),在 Windows 系統(tǒng)上部署名為“Msupedge”的后門。
CVE-2024-4577
IT之家曾于今年 6 月、7 月報(bào)道,PHP for Windows 安裝包中存在遠(yuǎn)程代碼執(zhí)行(RCE)漏洞,影響到自 5.x 版以來(lái)的所有版本,可能對(duì)全球大量服務(wù)器造成影響。
官方已經(jīng)于 6 月發(fā)布補(bǔ)丁修復(fù)了該漏洞,未經(jīng)認(rèn)證的攻擊者利用該漏洞可以執(zhí)行任意代碼,并在成功利用后可以讓系統(tǒng)完全崩潰。
Msupedge 后門
攻擊者制作并投放了 weblog.dll(Apache 進(jìn)程 httpd.exe 裝載)和 wmiclnt.dll 兩個(gè)動(dòng)態(tài)鏈接庫(kù)文件,使用 DNS 流量與命令與控制(C&C)服務(wù)器進(jìn)行通信。
該漏洞利用 DNS 隧道(基于開源 dnscat2 工具實(shí)現(xiàn)的功能),在 DNS 查詢和響應(yīng)中封裝數(shù)據(jù),以接收來(lái)自其 C&C 服務(wù)器的命令。
攻擊者可以利用 Msupedge 執(zhí)行各種命令,這些命令是根據(jù) C&C 服務(wù)器解析 IP 地址的八比特(Octet)第三位觸發(fā)的。該后門還支持多種命令,包括創(chuàng)建進(jìn)程、下載文件和管理臨時(shí)文件。
賽門鐵克 Threat Hunter Team 團(tuán)隊(duì)深入調(diào)查了該漏洞,認(rèn)為攻擊者是利用 CVE-2024-4577 漏洞入侵系統(tǒng)的。
該安全漏洞繞過(guò)了 PHP 團(tuán)隊(duì)針對(duì) CVE-2012-1823 實(shí)施的保護(hù)措施,而 CVE-2012-1823 在修復(fù)多年后被惡意軟件攻擊利用,利用 RubyMiner 惡意軟件攻擊 Linux 和 Windows 服務(wù)器。