近期,科技安全领域迎来了一则重大警报。据bleepingcomputer科技媒体披露,一个针对Windows系统的PHP远程代码执行漏洞CVE-2024-4577,尽管已在2024年6月得到官方修复,但仍被黑客组织大肆利用,对全球范围内的未更新系统构成了严重威胁。
CVE-2024-4577,这一特定于PHP-CGI参数注入的漏洞,主要影响在CGI模式下运行的Windows PHP安装。一旦攻击者成功利用此漏洞,便能在无需授权的情况下执行任意代码,进而完全掌控目标系统。这一安全缺陷的严峻性,在2024年8月被详尽披露后,引起了业界的广泛关注。
值得注意的是,安全研究团队Cisco Talos发现,自2025年1月起,不明身份的攻击者开始针对日本的多家组织发起猛烈攻击,不仅窃取了大量凭证信息,还企图建立持久性访问、提升权限至SYSTEM级别,并部署了名为“TaoWu”的Cobalt Strike工具包,进一步加剧了安全形势的严峻性。
而根据GreyNoise的最新报告,这些攻击者的目标范围已迅速扩大至全球,特别是美国、新加坡、日本等国,成为了此次攻击潮的重灾区。仅在2025年1月,GreyNoise的全球蜜罐网络(GOG)就监测到了来自1089个独特IP地址的漏洞利用尝试。
更令人担忧的是,GreyNoise的数据显示,网络上至少存在79款专门利用CVE-2024-4577漏洞的工具。进入2025年2月,多国网络中的漏洞利用尝试显著激增,这标志着攻击者正在大规模自动化扫描易受攻击的目标系统,企图进一步扩大其攻击范围和控制力。
面对这一持续蔓延的安全危机,专家呼吁所有运行受影响PHP配置的系统管理员尽快应用官方补丁,加强系统安全防护,以避免成为黑客的下一个目标。同时,企业和组织也应加强网络安全监控,及时发现并应对潜在的威胁,确保信息安全无虞。
