La empresa de inteligencia de amenazas GreyNoise advierte que una vulnerabilidad crítica de ejecución remota de código PHP que afecta a los sistemas Windows ahora está siendo explotada masivamente.

Identificada como CVE-2024-4577 , esta falla de inyección de argumentos PHP-CGI se solucionó en junio de 2024 y afecta a las instalaciones PHP de Windows con PHP ejecutándose en modo CGI. Su explotación exitosa permite a atacantes no autenticados ejecutar código arbitrario y conduce a un compromiso completo del sistema después de una explotación exitosa.

Un día después de que los mantenedores de PHP lanzaran los parches CVE-2024-4577 el 7 de junio de 2024, WatchTowr Labs publicó un código de explotación de prueba de concepto (PoC) y la Fundación Shadowserver informó haber observado intentos de explotación .

La advertencia de GreyNoise llega después de que Cisco Talos revelara anteriormente que un atacante desconocido había explotado la misma vulnerabilidad de PHP para atacar a organizaciones japonesas desde al menos principios de enero de 2025.

Si bien Talos observó a los atacantes intentando robar credenciales, cree que sus objetivos se extienden más allá de la simple recolección de credenciales, basándose en actividades posteriores a la explotación, que incluyen establecer persistencia, elevar privilegios al nivel de SISTEMA, implementación de herramientas y marcos adversarios y el uso de complementos del kit "TaoWu" Cobalt Strike.

Nuevos ataques se expanden a objetivos en todo el mundo

Sin embargo, como informó GreyNoise, los actores de amenazas detrás de esta actividad maliciosa lanzaron una red mucho más amplia al apuntar a dispositivos vulnerables a nivel mundial, con aumentos significativos observados en Estados Unidos, Singapur, Japón y otros países desde enero de 2025.

Sólo en enero, su red mundial de honeypots conocida como Global Observation Grid (GOG) detectó 1.089 direcciones IP únicas que intentaban explotar esta falla de seguridad de PHP.

"Si bien los informes iniciales se centraron en ataques en Japón, los datos de GreyNoise confirman que la explotación está mucho más extendida [...] Más del 43% de las IP que apuntaron a CVE-2024-4577 en los últimos 30 días son de Alemania y China", dijo la firma de inteligencia de amenazas , advirtiendo que al menos 79 exploits están disponibles en línea.

"En febrero, GreyNoise detectó un aumento coordinado en los intentos de explotación contra redes en varios países, lo que sugiere un escaneo automatizado adicional en busca de objetivos vulnerables".

Anteriormente, CVE-2024-4577 fue explotado por atacantes desconocidos que introdujeron una puerta trasera en los sistemas Windows de una universidad en Taiwán con un malware recientemente descubierto denominado Msupedge.

La banda de ransomware TellYouThePass también comenzó a explotar la vulnerabilidad para implementar webshells y cifrar los sistemas de las víctimas menos de 48 horas después de que se lanzaron los parches en junio de 2024.

Fuente: https://www.bleepingcomputer.com/news/security/critical-php-rce-vulnerability-mass-exploited-in-new-attacks/