La société de renseignements sur les menaces GreyNoise avertit qu’une vulnérabilité critique d’exécution de code à distance PHP qui affecte les systèmes Windows est maintenant exploitée en masse.
Suivi comme CVE-2024-4577, cette faille d’injection d’arguments PHP-CGI a été corrigée en juin 2024 et affecte les installations PHP Windows avec PHP fonctionnant en mode CGI. Une exploitation réussie permet aux attaquants non authentifiés d’exécuter du code arbitraire et conduit à une compromission complète du système après une exploitation réussie.
Un jour après que les mainteneurs PHP ont publié les correctifs CVE-2024-4577 le 7 juin 2024, WatchTowr Labs a publié le code d’exploitation de preuve de concept (PoC), et la Shadowserver Foundation a signalé avoir observé des tentatives d’exploitation.
L’avertissement de GreyNoise intervient après que Cisco Talos a révélé plus tôt qu’un attaquant inconnu avait exploité la même vulnérabilité PHP pour cibler des organisations japonaises depuis au moins début janvier 2025.
Bien que Talos ait observé les attaquants tenter de voler des informations d’identification, il pense que leurs objectifs vont au-delà de la simple récolte d’informations d’identification, sur la base d’activités post-exploitation, qui incluent l’établissement de la persistance, l’élévation des privilèges au niveau du SYSTÈME, le déploiement d’outils et de frameworks contradictoires et l’utilisation de plugins Cobalt Strike kit « TaoWu ».
De nouvelles attaques s’étendent à des cibles dans le monde entier
Cependant, comme l’a signalé GreyNoise, les acteurs de la menace à l’origine de cette activité malveillante ont jeté un filet beaucoup plus large en ciblant les appareils vulnérables à l’échelle mondiale, avec des augmentations significatives observées aux États-Unis, à Singapour, au Japon et dans d’autres pays depuis janvier 2025.
Rien qu’en janvier, son réseau mondial de pots de miel connu sous le nom de Global Observation Grid (GOG) a repéré 1 089 adresses IP uniques tentant d’exploiter cette faille de sécurité PHP.
« Alors que les premiers rapports se concentraient sur les attaques au Japon, les données grises confirment que l’exploitation est beaucoup plus répandue [..] Plus de 43% des adresses IP ciblant CVE-2024-4577 au cours des 30 derniers jours proviennent d’Allemagne et de Chine », a déclaré la société de renseignement sur les menaces, avertissant qu’au moins 79 exploits sont disponibles en ligne.
« En février, GreyNoise a détecté un pic coordonné de tentatives d’exploitation contre des réseaux dans plusieurs pays, suggérant une analyse automatisée supplémentaire des cibles vulnérables. »
Auparavant, CVE-2024-4577 était exploité par des attaquants inconnus qui ont backdooré les systèmes Windows d’une université à Taiwan avec un malware nouvellement découvert baptisé Msupedge.
Le gang de ransomwares TellYouThePass a également commencé à exploiter la vulnérabilité pour déployer des webshells et chiffrer les systèmes des victimes moins de 48 heures après la publication des correctifs en juin 2024.