PHP の脆弱性 CVE-2024-4577:脅威アクターたちが悪用してマルウェアを配布 – Akamai

Multiple Threat Actors Exploit PHP Flaw Cve-2024-4577 To Deliver Malware

2024/07/11 SecurityAffairs — PHP の脆弱性 CVE-2024-4577 を悪用する脅威アクターたちが、Gh0st RAT/RedTail cryptominers/XMRig などの多様なマルウェア・ファミリーを配信していると、Akamai の Security Intelligence Response Team (SIRT) が警告している。Akamai は、「新たな CVE-2024-4577 を迅速に悪用した脅威アクターたちは、脆弱性情報の公開から悪用までの時間が、短縮されているという傾向を維持している。Akamai のハニーポット・ネットワークでは、この PHP の欠陥を標的とする悪用の試みが、公開から 24時間以内に確認されている」と述べている。


この脆弱性 CVE-2024-4577 (CVSS:9.8) は、PHP-CGI における OS コマンド・インジェクションの欠陥である。この欠陥が存在するのは、Windows オペレーティング・システム内のエンコーディング変換における Best-Fit 機能である。この脆弱性の悪用に成功した攻撃者は、特定の文字列を用いることで、以前の脆弱性 CVE-2012-1823 に対する防御を回避できる。その結果として、リモートの PHP サーバに、引数インジェクションを仕掛けた後に、任意のコードを実行して、脆弱なサーバの制御を奪うという、攻撃チェーンが成立する。

Shadowserver と GreyNoise の研究者たちは、この脆弱性の公開に続いて、PoC エクスプロイト・コードが公になってから、この脆弱性の悪用が試みられていると報告している。また、2024年6月には、米国の Cybersecurity and Infrastructure Security Agency (CISA)は、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加している。

その一方で、Greynoise の研究者たちも、「本稿の執筆時点で、Windows が以下のロケールで実行されている場合に、攻撃者はリモート・サーバ上で、任意のコードをダイレクトに実行できることが確認されている」と、CVE-2024-4577 の悪用について報告している。

  • Traditional Chinese (Code Page 950)
  • Simplified Chinese (Code Page 936)
  • Japanese (Code Page 932)

彼らは、「英語/韓国語/西ヨーロッパ語などのロケールで動作する Windows については、PHP の使用シナリオが多岐にわたるため、潜在的な悪用シナリオを 完全に列挙/排除することが困難だ。そのため、ユーザーに対して推奨されるのは、PHP を最新バージョンに更新してセキュリティを確保することに加えて、包括的な資産評価を実施し、使用シナリオを確認することになる」と付け加えている。

Akamai の研究者たちは、DDoS ボットネット Muhstik を背後で操る脅威アクターが、この脆弱性を悪用していることも確認している。

このボットネットのシェル・スクリプトは、別の IP アドレスから “pty3” という ELF ファイルをダウンロードする。それは、Muhstik マルウェアのサンプルである可能性が高い。このマルウェアは、IoT デバイスと Linux サーバを標的として、暗号通貨マイニングと DDoS 攻撃を行うように設計されている。このボットは、Muhstik ボットネットの活動で確認された Command and Contorl ドメイン p.findmeatthe[.]top にも接続し、Internet Relay Chat を介して通信している。

この脆弱性を悪用して XMR Rig を配信するキャンペーンも、研究者たちは観測している。その攻撃者は、PowerShell スクリプトによるコマンドを注入し、リモート・マイニング・プールから XMRigを スピンアップするスクリプトを、ダウンロードして実行している。さらに、このスクリプトは、難読化のために一時ファイルをクリーンアップするという。

Aakmai のレポートは、「脅威アクターたちが用いる各種の自動化ツールと、ユーザー企業における管理の甘さを狭間を突いて、この攻撃は成功するように仕組まれている。新たな脆弱性が公開された後の、防御者たちの時間的な猶予が次第に短くなっていることも、重大なセキュリティ・リスクとなっている。この PHP の脆弱性は、脅威アクターたちにより迅速に採用され、悪用の可能性が高いため、この傾向を如実に例証している」と締め括っている。

PHP の脆弱性 CVE-2024-4577 ですが、さまざまな脅威アクターが群がってきているようです。この脆弱性の FIX が公表されてから、およそ1週間で、自体は目まぐるしく動いています。ご利用のチームは、十分に ご注意ください。よろしければ、PHP で検索も、ご参照ください。

2024/06/10:PHP の CVE-2024-4577:TellYouThePass が標的に!
2024/06/07:PHP の CVE-2024-4577:PoC エクスプロイトが公開
2024/06/06:PHP の深刻な RCE 脆弱性 CVE-2024-4577 が FIX