IT 之家 8 月 21 日消息,科技媒體 bleepingcomputer 昨日(8 月 20 日)報道,有黑客利用近期修複的 PHP 遠程代碼執行漏洞(CVE-2024-4577),在 Windows 系統上部署名爲 "Msupedge" 的後門。
CVE-2024-4577
IT 之家曾于今年 6 月、7 月報道,PHP for Windows 安裝包中存在遠程代碼執行(RCE)漏洞,影響到自 5.x 版以來的所有版本,可能對全球大量服務器造成影響。
官方已經于 6 月發布補丁修複了該漏洞,未經認證的攻擊者利用該漏洞可以執行任意代碼,并在成功利用後可以讓系統完全崩潰。
Msupedge 後門
攻擊者制作并投放了 weblog.dll(Apache 進程 httpd.exe 裝載)和 wmiclnt.dll 兩個動态鏈接庫文件,使用 DNS 流量與命令與控制(C&C)服務器進行通信。
該漏洞利用 DNS 隧道(基于開源 dnscat2 工具實現的功能),在 DNS 查詢和響應中封裝數據,以接收來自其 C&C 服務器的命令。
攻擊者可以利用 Msupedge 執行各種命令,這些命令是根據 C&C 服務器解析 IP 地址的八比特(Octet)第三位觸發的。該後門還支持多種命令,包括創建進程、下載文件和管理臨時文件。
賽門鐵克 Threat Hunter Team 團隊深入調查了該漏洞,認爲攻擊者是利用 CVE-2024-4577 漏洞入侵系統的。
該安全漏洞繞過了 PHP 團隊針對 CVE-2012-1823 實施的保護措施,而 CVE-2012-1823 在修複多年後被惡意軟件攻擊利用,利用 RubyMiner 惡意軟件攻擊 Linux 和 Windows 服務器。
