8 月 21 日消息，科技媒體 bleepingcomputer 昨日（8 月 20 日）報道，有黑客利用近期修復的 PHP 遠程代碼執(zhí)行漏洞（CVE-2024-4577），在 Windows 系統(tǒng)上部署名為“Msupedge”的后門。

CVE-2024-4577

IT之家曾于今年 6 月、7 月報道，PHP for Windows 安裝包中存在遠程代碼執(zhí)行（RCE）漏洞，影響到自 5.x 版以來的所有版本，可能對全球大量服務器造成影響。

官方已經于 6 月發(fā)布補丁修復了該漏洞，未經認證的攻擊者利用該漏洞可以執(zhí)行任意代碼，并在成功利用后可以讓系統(tǒng)完全崩潰。

Msupedge 后門

攻擊者制作并投放了 weblog.dll（Apache 進程 httpd.exe 裝載）和 wmiclnt.dll 兩個動態(tài)鏈接庫文件，使用 DNS 流量與命令與控制（C&C）服務器進行通信。

該漏洞利用 DNS 隧道（基于開源 dnscat2 工具實現(xiàn)的功能），在 DNS 查詢和響應中封裝數(shù)據(jù)，以接收來自其 C&C 服務器的命令。

攻擊者可以利用 Msupedge 執(zhí)行各種命令，這些命令是根據(jù) C&C 服務器解析 IP 地址的八比特（Octet）第三位觸發(fā)的。該后門還支持多種命令，包括創(chuàng)建進程、下載文件和管理臨時文件。

賽門鐵克 Threat Hunter Team 團隊深入調查了該漏洞，認為攻擊者是利用 CVE-2024-4577 漏洞入侵系統(tǒng)的。

該安全漏洞繞過了 PHP 團隊針對 CVE-2012-1823 實施的保護措施，而 CVE-2012-1823 在修復多年后被惡意軟件攻擊利用，利用 RubyMiner 惡意軟件攻擊 Linux 和 Windows 服務器。