长亭百川云 - 文章详情

PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)已发现在野攻击!

奇安信威胁情报中心

67

2024-07-13

2024年6月6日,奇安信CERT监测到官方修复PHP CGI Windows平台特定语系(简体中文936/繁体中文950/日文932)远程代码执行漏洞(CVE-2024-4577),未经身份认证的远程攻击者可以通过特定的字符序列绕过此前CVE-2012-1823的防护,通过参数注入在配置了cgi选项的远程PHP服务器上执行任意代码,从而导致远程代码执行、敏感信息泄露或造成服务器崩溃。需要注意的是cgi选项默认在xmapp中开启。

该漏洞在网上公开披露后,奇安信威胁情报红雨滴团队第一时间进行了跟进,发现自6月7号该漏洞细节披露后,从8号开始出现了多起以该漏洞为攻击向量的攻击事件。

事件一

最早的攻击活动时间为2024-06-08 13:20:29,未知攻击者利用CVE-2024-4577漏洞向服装行业发起攻击。攻击者在xampp\htdocs\目录下上传名为updateout.php的webshell小马

       然后上传另一个名为xxl.php的webshell

Webshell连接成功后从远程服务器下载payload (http://110.41.189.19:8000/ttt.exe)

下发免杀的插件api.exe用于添加用户,方便后续RDP登录,添加的用户信息如下:

guest zxc123...

事件二

 2024-06-08 19:40:31,勒索软件分发商利用CVE-2024-4577漏洞向金融、商务服务业发起攻击,启动mshta.exe执行远程hta文件,但是被天擎拦截,经过分析后续payload为TellYouThePass勒索软件。

事件三

2024-06-08 20:45:06,Lucifer DDoS团伙利用CVE-2024-4577漏洞向医疗行业发起攻击,执行恶意的powershell脚本

执行的bat内容如下:

下载挖矿组件,矿池地址如下:

auto.c3pool.org:443

整个漏洞的相关时间线如下所示:

  • 2024-06-06:Devco blog对该漏洞进行了披露,

  • 2024-06-07:奇安信cert完成复现并对外推送安全公告

    twitter上开始出现exp利用

  • 2024-06-08:针对xampp默认配置的exp公开

  • 2024-06-08:下午13:20:29,奇安信威胁情报红雨滴团队捕获发现第一个在野攻击

IOC

未知攻击C2:

http://110.41.189.19:8000/ttt.exe

TellYouThePass勒索C2:

http://88.218.76.13/dd3.hta

http://88.218.76.13/d3.hta

Lucifer DDoS挖矿组件C2:

http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/test.bat

http://img6.tuwan.com/9e9cdf6b-8471-4d2c-b422-8de1221d37f6.txt/test.bat

http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/xmrig.exe

http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/configjashgddfh.json

http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/Wi.png

auto.c3pool.org:443

点击阅读原文至ALPHA 7.0

即刻助力威胁研判

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2