根據(jù)最新消息，網(wǎng)絡(luò)安全公司 Akamai 于 7 月 10 日發(fā)布博文，表示今年 6 月披露 PHP 漏洞 CVE-2024-4577 之后，隔天就觀測(cè)到網(wǎng)絡(luò)上有大量攻擊者嘗試?yán)迷撀┒窗l(fā)起攻擊。

Akamai 表示在 6 月披露該 PHP 后 24 小時(shí)，就觀察到大量針對(duì)蜜罐服務(wù)器的漏洞利用嘗試。

這些攻擊包括傳播名為 Gh0st RAT 的遠(yuǎn)程訪問(wèn)木馬、RedTail 和 XMRig 等加密貨幣礦機(jī)以及名為 Muhstik 的 DDoS 僵尸網(wǎng)絡(luò)。

該漏洞的 CVSS 評(píng)分為 9.8 分（滿分 10 分），影響 CGI 模式下的安裝方式，主要影響使用中文、日本語(yǔ)言的 Windows 版 PHP 安裝程序。

Gh0st RAT 惡意軟件樣本 MITRE ATT&CK TTPs

攻擊者利用該漏洞，可以繞過(guò)命令行，將參數(shù)傳遞給 PHP 直接解釋，漏洞本身問(wèn)題在于 CGI 引擎沒(méi)有轉(zhuǎn)義軟連字號(hào) (0xAD)，沒(méi)有將 Unicode 字符正確轉(zhuǎn)換為 ASCII 字符，從而導(dǎo)致攻擊者可遠(yuǎn)程代碼執(zhí)行（RCE）。

PHP 目前已經(jīng)發(fā)布版本更新，修復(fù)了該漏洞，目前敦促用戶盡快升級(jí)到 8.1.29、8.2.20、8.3.8 版本，受影響的版本如下：

• 8.1.x 分支下，影響 8.1.29 此前版本
• 8.2.x 分支下，影響 8.2.20 此前版本
• 8.3.x 分支下，影響 8.3.8 此前版本
• PHP 8 版本
• PHP 7 版本
• PHP 5 版本