8 月 21 日消息，科技媒體 bleepingcomputer 昨日（8 月 20 日）報(bào)道，有黑客利用近期修復(fù)的 PHP 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2024-4577），在 Windows 系統(tǒng)上部署名為“Msupedge”的后門。

CVE-2024-4577

IT之家曾于今年 6 月、7 月報(bào)道，PHP for Windows 安裝包中存在遠(yuǎn)程代碼執(zhí)行（RCE）漏洞，影響到自 5.x 版以來的所有版本，可能對全球大量服務(wù)器造成影響。

官方已經(jīng)于 6 月發(fā)布補(bǔ)丁修復(fù)了該漏洞，未經(jīng)認(rèn)證的攻擊者利用該漏洞可以執(zhí)行任意代碼，并在成功利用后可以讓系統(tǒng)完全崩潰。

Msupedge 后門

攻擊者制作并投放了 weblog.dll（Apache 進(jìn)程 httpd.exe 裝載）和 wmiclnt.dll 兩個(gè)動態(tài)鏈接庫文件，使用 DNS 流量與命令與控制（C&C）服務(wù)器進(jìn)行通信。

該漏洞利用 DNS 隧道（基于開源 dnscat2 工具實(shí)現(xiàn)的功能），在 DNS 查詢和響應(yīng)中封裝數(shù)據(jù)，以接收來自其 C&C 服務(wù)器的命令。

攻擊者可以利用 Msupedge 執(zhí)行各種命令，這些命令是根據(jù) C&C 服務(wù)器解析 IP 地址的八比特（Octet）第三位觸發(fā)的。該后門還支持多種命令，包括創(chuàng)建進(jìn)程、下載文件和管理臨時(shí)文件。

賽門鐵克 Threat Hunter Team 團(tuán)隊(duì)深入調(diào)查了該漏洞，認(rèn)為攻擊者是利用 CVE-2024-4577 漏洞入侵系統(tǒng)的。

該安全漏洞繞過了 PHP 團(tuán)隊(duì)針對 CVE-2012-1823 實(shí)施的保護(hù)措施，而 CVE-2012-1823 在修復(fù)多年后被惡意軟件攻擊利用，利用 RubyMiner 惡意軟件攻擊 Linux 和 Windows 服務(wù)器。