PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)已发现在野攻击！

2024年6月6日，奇安信CERT监测到官方修复PHP CGI Windows平台特定语系(简体中文936/繁体中文950/日文932)远程代码执行漏洞(CVE-2024-4577)，未经身份认证的远程攻击者可以通过特定的字符序列绕过此前CVE-2012-1823的防护，通过参数注入在配置了cgi选项的远程PHP服务器上执行任意代码，从而导致远程代码执行、敏感信息泄露或造成服务器崩溃。需要注意的是cgi选项默认在xmapp中开启。

该漏洞在网上公开披露后，奇安信威胁情报红雨滴团队第一时间进行了跟进，发现自6月7号该漏洞细节披露后，从8号开始出现了多起以该漏洞为攻击向量的攻击事件。

事件一

最早的攻击活动时间为2024-06-08 13:20:29，未知攻击者利用CVE-2024-4577漏洞向服装行业发起攻击。攻击者在xampp\htdocs\目录下上传名为updateout.php的webshell小马

然后上传另一个名为xxl.php的webshell

Webshell连接成功后从远程服务器下载payload （http://110.41.189.19:8000/ttt.exe）

下发免杀的插件api.exe用于添加用户，方便后续RDP登录，添加的用户信息如下：

guest zxc123...

事件二

2024-06-08 19:40:31，勒索软件分发商利用CVE-2024-4577漏洞向金融、商务服务业发起攻击，启动mshta.exe执行远程hta文件，但是被天擎拦截，经过分析后续payload为TellYouThePass勒索软件。

事件三

2024-06-08 20:45:06，Lucifer DDoS团伙利用CVE-2024-4577漏洞向医疗行业发起攻击，执行恶意的powershell脚本

执行的bat内容如下：