GreyNoise บริษัทด้านข่าวกรองภัยคุกคาม ออกมาเตือนว่าช่องโหว่การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล (RCE) ระดับ Critical ของ PHP ที่ส่งผลกระทบต่อระบบ Windows กำลังถูกใช้ในการโจมตีอย่างหนักอยู่ในปัจจุบัน
ช่องโหว่นี้มีหมายเลข CVE-2024-4577 ซึ่งเป็นช่องโหว่ PHP-CGI argument injection ที่ได้รับการแก้ไขไปแล้วในเดือนมิถุนายน 2024 โดยช่องโหว่นี้ส่งผลกระทบต่อการติดตั้ง PHP บน Windows ที่รัน PHP ในโหมด CGI โดยการโจมตีที่ประสบความสำเร็จจะช่วยให้ผู้โจมตีสามารถรันโค้ดตามที่ต้องการได้โดยไม่ต้องผ่านการยืนยันตัวตน และอาจนำไปสู่การเข้าควบคุมระบบได้โดยสมบูรณ์
หนึ่งวันหลังจากที่ผู้ดูแลระบบ PHP ปล่อยแพตช์อัปเดตสำหรับ CVE-2024-4577 เมื่อวันที่ 7 มิถุนายน 2024 WatchTowr Labs ได้เผยแพร่โค้ดตัวอย่าง proof-of-concept (PoC) และ Shadowserver Foundation ได้รายงานว่าพบความพยายามในการใช้ช่องโหว่นี้ในการโจมตี
คำเตือนของ GreyNoise เกิดขึ้นหลังจากที่ Cisco Talos เปิดเผยก่อนหน้านี้ว่า ผู้โจมตีที่ยังไม่ถูกระบุชื่อ ได้ใช้ช่องโหว่ PHP เดียวกันนี้ในการโจมตีองค์กรในญี่ปุ่นมาตั้งแต่ต้นเดือนมกราคม 2025
แม้ว่า Talos จะสังเกตเห็นว่าผู้โจมตีพยายามขโมยข้อมูล credentials แต่พวกเขาเชื่อว่าเป้าหมายของผู้โจมตีไม่ได้จำกัดแค่การเก็บข้อมูล credentials เท่านั้น เนื่องจากกิจกรรมหลังจากการโจมตี รวมถึงการแฝงตัวอยู่ในระบบ, การเพิ่มสิทธิ์เป็นระดับ SYSTEM, การติดตั้งเครื่องมือสำหรับผู้โจมตี และการใช้ปลั๊กอิน "TaoWu" ของ Cobalt Strike
การโจมตีรูปแบบใหม่ขยายเป้าหมายไปทั่วโลก
ตามที่ GreyNoise รายงาน ผู้โจมตีที่อยู่เบื้องหลังการดำเนินการที่เป็นอันตรายนี้ ได้ขยายการโจมตีให้กว้างขึ้นโดยการโจมตีอุปกรณ์ที่มีช่องโหว่ทั่วโลก และสังเกตเห็นการเพิ่มขึ้นอย่างมีนัยสำคัญในสหรัฐอเมริกา, สิงคโปร์, ญี่ปุ่น และประเทศอื่น ๆ ตั้งแต่เดือนมกราคม 2025
เพียงแค่ในเดือนมกราคม เครือข่าย honeypots ทั่วโลกที่รู้จักกันในชื่อ Global Observation Grid (GOG) ได้ตรวจพบที่อยู่ IP ที่ไม่ซ้ำกัน 1,089 รายการที่พยายามใช้ช่องโหว่ด้านความปลอดภัยของ PHP นี้
บริษัทข่าวกรองด้านภัยคุกคามระบุว่า "มีการโจมตีโดยใช้ช่องโหว่นี้มากกว่า 79 รายการ โดยในรายงานเบื้องต้นจะเน้นไปที่การโจมตีในญี่ปุ่น แต่ข้อมูลจาก GreyNoise ยืนยันว่าการโจมตีโดยใช้ช่องโหว่นี้แพร่หลายกว่านั้น มากกว่า 43% ของที่อยู่ IP ที่พยายามโจมตีช่องโหว่ CVE-2024-4577 ในช่วง 30 วันที่ผ่านมา มาจากเยอรมนี และจีน"
"ในเดือนกุมภาพันธ์ GreyNoise ตรวจพบการโจมตีเครือข่ายในหลายประเทศเพิ่มขึ้นอย่างต่อเนื่อง ซึ่งแสดงให้เห็นถึงเครื่องมือการสแกนอัตโนมัติที่มุ่งไปยังเป้าหมายที่มีช่องโหว่"
ก่อนหน้านี้ CVE-2024-4577 ถูกใช้โดยผู้โจมตีที่ยังไม่ถูกระบุชื่อ ซึ่งได้แทรกซึมเข้าไปในระบบ Windows ของมหาวิทยาลัยในไต้หวันด้วยมัลแวร์ตัวใหม่ที่เรียกว่า Msupedge
กลุ่มแรนซัมแวร์ TellYouThePass ยังได้ใช้ช่องโหว่นี้เพื่อติดตั้ง Webshells และเข้ารหัสระบบของเหยื่อ เพียงไม่ถึง 48 ชั่วโมงหลังจากที่มีการปล่อยแพตช์อัปเดตในเดือนมิถุนายน 2024
ที่มา : bleepingcomputer
You must be logged in to post a comment.