A empresa de inteligência em ameaças GreyNoise alerta que uma vulnerabilidade crítica de execução remota de código em PHP, que afeta sistemas Windows, está agora sob exploração massiva.
Identificada como CVE-2024-4577, essa falha de injeção de argumentos PHP-CGI foi corrigida em junho de 2024 e afeta instalações PHP em Windows com PHP operando no modo CGI.
A exploração bem-sucedida permite que atacantes não autenticados executem códigos arbitrários e leva à comprometimento total do sistema após uma exploração bem-sucedida.
Um dia após os mantenedores do PHP lançarem os patches para o CVE-2024-4577, em 7 de junho de 2024, a WatchTowr Labs divulgou código de exploração de conceito (PoC), e a Fundação Shadowserver reportou observações de tentativas de exploração.
O aviso da GreyNoise vem após a Cisco Talos revelar anteriormente que um atacante desconhecido havia explorado a mesma vulnerabilidade do PHP para atacar organizações japonesas desde pelo menos início de janeiro de 2025.
Enquanto a Talos observou os atacantes tentando roubar credenciais, acredita-se que seus objetivos vão além da simples coleta de credenciais, com base em atividades pós-exploração, que incluem estabelecimento de persistência, elevação de privilégios para o nível SYSTEM, implantação de ferramentas e frameworks adversários, e uso de plugins do kit "TaoWu" Cobalt Strike.
No entanto, conforme reportado pela GreyNoise, os atacantes por trás desta atividade maliciosa lançam uma rede muito mais ampla, visando dispositivos vulneráveis globalmente, com aumentos significativos observados nos Estados Unidos, Singapura, Japão, e outros países desde janeiro de 2025.
Somente em janeiro, sua rede mundial de honeypots conhecida como Global Observation Grid (GOG) identificou 1.089 endereços IP únicos tentando explorar essa falha de segurança no PHP.
"Embora os relatórios iniciais focassem em ataques no Japão, os dados da GreyNoise confirmam que a exploração é muito mais disseminada [...] Mais de 43% dos IPs visando o CVE-2024-4577 nos últimos 30 dias são da Alemanha e China," afirmou a firma de inteligência em ameaças, alertando que pelo menos 79 exploits estão disponíveis online.
Em fevereiro, a GreyNoise detectou um pico coordenado de tentativas de exploração contra redes em vários países, sugerindo varreduras automatizadas adicionais em busca de alvos vulneráveis.
Anteriormente, o CVE-2024-4577 foi explorado por atacantes desconhecidos que implantaram um backdoor em sistemas Windows de uma universidade em Taiwan com um malware recém-descoberto chamado Msupedge.
O grupo de ransomware TellYouThePass também começou a explorar a vulnerabilidade para implantar webshells e criptografar sistemas de vítimas menos de 48 horas após a liberação dos patches em junho de 2024.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...