网络第5域

PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)已发现在野攻击

字号+作者: 来源:安全内参 2024-06-12 00:00 评论(创建话题) 收藏成功收藏本文

自6月7号该漏洞细节披露后,从8号开始出现了多起以该漏洞为攻击向量的攻击事件。2024年6月6日,奇安信CERT监测到官方修复PHP CGI Windows平台特定语系(简'...

自6月7号该漏洞细节披露后,从8号开始出现了多起以该漏洞为攻击向量的攻击事件。

2024年6月6日,奇安信CERT监测到官方修复PHP CGI Windows平台特定语系(简体中文936/繁体中文950/日文932)远程代码执行漏洞(CVE-2024-4577),未经身份认证的远程攻击者可以通过特定的字符序列绕过此前CVE-2012-1823的防护,通过参数注入在配置了cgi选项的远程PHP服务器上执行任意代码,从而导致远程代码执行、敏感信息泄露或造成服务器崩溃。需要注意的是cgi选项默认在xmapp中开启。CFC品论天涯网

CFC品论天涯网

该漏洞在网上公开披露后,奇安信威胁情报红雨滴团队第一时间进行了跟进,发现自6月7号该漏洞细节披露后,从8号开始出现了多起以该漏洞为攻击向量的攻击事件。CFC品论天涯网

事件一CFC品论天涯网

最早的攻击活动时间为2024-06-08 13:20:29,未知攻击者利用CVE-2024-4577漏洞向服装行业发起攻击。攻击者在xampp\htdocs\目录下上传名为updateout.php的webshell小马CFC品论天涯网

CFC品论天涯网

CFC品论天涯网

然后上传另一个名为xxl.php的webshellCFC品论天涯网

CFC品论天涯网

CFC品论天涯网

CFC品论天涯网

Webshell连接成功后从远程服务器下载payload (http://110.41.189.19:8000/ttt.exe)CFC品论天涯网

下发免杀的插件api.exe用于添加用户,方便后续RDP登录,添加的用户信息如下:CFC品论天涯网

guest zxc123...CFC品论天涯网

事件二CFC品论天涯网

2024-06-08 19:40:31,勒索软件分发商利用CVE-2024-4577漏洞向金融、商务服务业发起攻击,启动mshta.exe执行远程hta文件,但是被天擎拦截,经过分析后续payload为TellYouThePass勒索软件。CFC品论天涯网

  • http://88.218.76.13/dd3.htaCFC品论天涯网

  • http://88.218.76.13/d3.htaCFC品论天涯网

事件三CFC品论天涯网

2024-06-08 20:45:06,Lucifer DDoS团伙利用CVE-2024-4577漏洞向医疗行业发起攻击,执行恶意的powershell脚本CFC品论天涯网

CFC品论天涯网

CFC品论天涯网

执行的bat内容如下:CFC品论天涯网

CFC品论天涯网

CFC品论天涯网

CFC品论天涯网

下载挖矿组件,矿池地址如下:CFC品论天涯网

CFC品论天涯网

CFC品论天涯网

CFC品论天涯网

auto.c3pool.org:443CFC品论天涯网

整个漏洞的相关时间线如下所示:CFC品论天涯网

  • 2024-06-06:Devco blog对该漏洞进行了披露,CFC品论天涯网

  • 2024-06-07:奇安信cert完成复现并对外推送安全公告CFC品论天涯网

    twitter上开始出现exp利用CFC品论天涯网

  • 2024-06-08:针对xampp默认配置的exp公开CFC品论天涯网

  • 2024-06-08:下午13:20:29,奇安信威胁情报红雨滴团队捕获发现第一个在野攻击CFC品论天涯网

CFC品论天涯网

IOCCFC品论天涯网

未知攻击C2:CFC品论天涯网

http://110.41.189.19:8000/ttt.exeCFC品论天涯网

CFC品论天涯网

TellYouThePass勒索C2:CFC品论天涯网

http://88.218.76.13/dd3.htaCFC品论天涯网

http://88.218.76.13/d3.htaCFC品论天涯网

CFC品论天涯网

Lucifer DDoS挖矿组件C2:CFC品论天涯网

http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/test.batCFC品论天涯网

http://img6.tuwan.com/9e9cdf6b-8471-4d2c-b422-8de1221d37f6.txt/test.batCFC品论天涯网

http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/xmrig.exeCFC品论天涯网

http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/configjashgddfh.jsonCFC品论天涯网

http://img6.tuwan.com/0a977469-c1ac-4e94-beca-1b89d18ab3bf.txt/Wi.pngCFC品论天涯网

auto.c3pool.org:443CFC品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]