פגיעות קריטית ב-PHP עלולה להפוך לבעיה עולמית

חוקרי אבטחת סייבר מ-Cisco Talos גילו לאחרונה פגיעות קריטית ב-PHP-CGI שעלולה להפוך בקרוב ל"בעיה עולמית" – ובהתבסס על ממצאים אלה, מומחים מ-GreyNoise הוסיפו כעת כי נדרשת "פעולה מיידית" כדי להתמודד עם האיום.

בדו"ח שלה, GreyNoise ציינה כיצד Cisco Talos הבחינה לאחרונה בגורמי איום המכוונים לארגונים יפניים באמצעות CVE-2024-4577, קוד קריטי להפעלת קוד מרחוק. פגם (RCE) ב-PHP-CGI, עם 79 פרצות זמינות. סיסקו טאלוס אמרה כי גורם האיום האנונימי השתמש בבאג כדי לגנוב אישורים ולבסס עמידות במערכת היעד "מה שמצביע על הסבירות למתקפות עתידיות".

"בעוד שטאלוס התמקדה בקורטמינולוגיה ובמסחר התוקפים, טלמטריה של GreyNoise חושפת דפוס ניצול רחב בהרבה הדורש פעולה מיידית מצד המגנים ברחבי העולם", נכתב בדו"ח.

ארה"ב, סינגפור ומטרות אחרות

סיסקו טאלוס אמרה כי גורמי האיום ניצלו את הפגם כדי להפיל משואות Cobalt Strike, ולבצע פעילויות לאחר ניצול באמצעות ה-.

עם זאת, GreyNoise אמרה כי הפגם מנוצל לרעה במקומות רבים ברחבי העולם, כולל ארצות הברית, סינגפור, יפן ומדינות אחרות.

ההתקפות החלו בינואר השנה, כאשר רשת התצפית הגלובלית של GreyNoise (רשת עולמית של רשתות דבש) זיהתה 1,089 כתובות IP ייחודיות (גורמי איום נפרדים, למעשה), בניסיון לנצל… CVE-2024-4577 בינואר 2025 בלבד.

כמעט מחצית (43%) מכתובות ה-IP שכוונו ל-CVE-2024-4577 ב-30 הימים האחרונים הגיעו מגרמניה או מסין, כך מסרה GreyNoise.

סיסקו טאלוס פרסמה הנחיות שנועדו לסייע לעסקים עם מערכות Windows הפונות לאינטרנט וחושפות PHP-CGI להפחית את האיום ולהגן מפני התקפות פוטנציאליות, אותן ניתן למצוא כאן. תיקון שוחרר בקיץ 2024, על פי The Record, ו-GreyNoise הוסיף כי משתמשים צריכים להריץ ציד-על (retro-hunts) כדי לזהות דפוסי ניצול דומים.