CVE-2024-4577 là một lỗ hổng nghiêm trọng chèn tham số PHP-CGI đã được vá vào tháng 6, ảnh hưởng đến các cài đặt PHP chạy trên hệ thống Windows đang hoạt động ở chế độ CGI. Nó cho phép kẻ tấn công chưa được xác thực thực thi mã tùy ý và dẫn đến xâm phạm toàn bộ hệ thống sau khi khai thác thành công.
Kẻ tấn công đã triển khai phần mềm độc hại dưới dạng hai thư viện liên kết động (weblog[.]dll và wmiclnt[.]dll), được tải bởi tiến trình Apache httpd[.]exe.
Tính năng đáng chú ý nhất của Msupedge là sử dụng lưu lượng DNS để trao đổi dữ liệu với máy chủ kiểm soát tấn công (C&C). Mặc dù nhiều nhóm tin tặc đã áp dụng kỹ thuật này trong quá khứ, nhưng hiện nay kỹ thuật này đã ít được sử dụng.
Kẻ tấn công đã tận dụng DNS Tunneling (một tính năng được triển khai dựa trên công cụ dnscat2 nguồn mở), cho phép dữ liệu được đóng gói trong các truy vấn và phản hồi DNS để nhận lệnh từ máy chủ C&C. Ngoài ra, kẻ tấn công có thể sử dụng Msupedge để thực hiện nhiều lệnh khác nhau, được kích hoạt dựa trên octet thứ ba của địa chỉ IP đã giải quyết của máy chủ C&C. Backdoor Msupedge cũng hỗ trợ nhiều lệnh, bao gồm tạo tiến trình, tải xuống tệp và quản lý tệp tạm thời.
Nhóm Threat Hunter của Symantec - đơn vị đã phát hiện ra phần mềm độc hại mới này, cho rằng những kẻ tấn công đã truy cập được vào các hệ thống bị xâm phạm sau khi khai thác lỗ hổng CVE-2024-4577.
Lỗ hổng bảo mật này cho phép vượt qua các biện pháp bảo vệ của PHP triển khai cho CVE-2012-1823. Lỗ hổng này đã bị khai thác trong các cuộc tấn công trong nhiều năm sau khi được khắc phục để nhắm vào các máy chủ Linux và Windows bằng phần mềm độc hại RubyMiner.
Nhóm Threat Hunter của Symantec cho biết: “Cuộc xâm nhập ban đầu có thể là thông qua việc khai thác lỗ hổng PHP mới được vá gần đây (CVE-2024-4577). Cho đến nay, chúng tôi vẫn chưa phát hiện bằng chứng nào cho phép chúng tôi xác định mối đe dọa này cũng như động cơ đằng sau cuộc tấn công”.
Sau khi những nhà bảo trì phát hành bản vá CVE-2024-4577, WatchTowr Labs đã đưa ra mã khai thác (PoC) cho lỗ hổng này. Shadowserver Foundation cũng đã báo cáo về việc phát hiện các hoạt động khai thác trên honeypot của họ trong cùng ngày.
Chưa đầy 48 giờ sau khi bản vá được phát hành, nhóm ransomware TellYouThePass cũng bắt đầu khai thác lỗ hổng để triển khai webshell và mã hóa hệ thống của nạn nhân.
Các chuyên gia khuyên cáo người dùng nên thường xuyên kiểm tra và cập nhật bản vá đầy đủ cho các phần mềm, thư viện đang sử dụng và loại bỏ các phần mềm, thư viện không còn sử dụng để giảm nguy cơ bị tấn công.
Bá Phúc
14:00 | 17/09/2024
14:00 | 05/08/2024
10:00 | 19/08/2024
09:00 | 15/08/2024
15:00 | 18/09/2024
Công ty an ninh mạng McAfee thông báo đã phát hiện 280 ứng dụng Android giả mà đối tượng lừa đảo dùng để truy cập ví tiền ảo.
13:00 | 13/09/2024
Cisco đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến tiện ích cấp phép thông minh (Smart Licensing Utility), có thể cho phép kẻ tấn công từ xa chưa được xác thực leo thang đặc quyền hoặc truy cập thông tin nhạy cảm.
13:00 | 27/08/2024
Ngân hàng Nhà nước Việt Nam ghi nhận gần đây có hiện tượng đối tượng lừa đảo, giả mạo giao diện hòm thư điện tử của Ngân hàng Nhà nước Việt Nam để gửi thông tin dẫn dụ người dân, khách hàng bấm vào đường link cập nhật thông tin sinh trắc học cho giao dịch ngân hàng.
15:00 | 04/08/2024
Báo cáo của hãng Kaspersky được đưa ra tại chương trình “Tập huấn mô phỏng bảo vệ tương tác của Kaspersky (KIPS)” nhằm hỗ trợ doanh nghiệp chủ động ứng phó với các mối đe dọa phức tạp và không ngừng gia tăng trong bối cảnh kỹ thuật số cho thấy số tài khoản lộ lọt do nhiễm mã độc tại Việt Nam trong những năm gần đây gia tăng đột biến, năm 2023 gấp 31 lần so với năm 2020.
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
12:00 | 03/10/2024