PHP-CGIの重大な脆弱性(CVE-2024-4577)

概要

PHP-CGI の遠隔コード実行脆弱性(CVE-2024-4577)を利用した大規模な攻撃が発生しています。主にWindows システム上でPHP-CGIをインストールしている日本の組織が標的とされています。PHP-CGIの重大な遠隔コード実行脆弱性を利用した攻撃で、79 種類の脆弱性が存在します。

また、CVE-2024-4577 の悪用は日本だけでなく、世界中で広範囲にわたっていることが確認されています。特にアメリカ、シンガポール、インドネシア、イギリス、スペイン、インドで活動が観測されました。2025年1月だけで、1,089 のユニーク IP アドレスがこの脆弱性を悪用しようと試みているようです。ドイツと中国からの IP は過去30日間で43%以上を占め、2月には複数国での標的化されたスキャン活動が観測されました。

影響を受けるシステム

Windowsシステム上でPHP-CGIを実行しているインターネットに接続されたシステム。EC-CUBEなどのECシステムもPHPで動いているため、影響を受ける可能性があるか確認が必要です。

対策

Cisco Talos のガイダンスに従うこと。

脆弱性が許可する行動

PHP-CGI の脆弱性を利用して、Cobalt Strike ビーコンやTaoWu ツールキットをインストールし、それらを使用したさらなる攻撃活動を実施することが可能です。

遠隔コード実行(RCE)

攻撃者は認証なしで、Webサーバー上で任意のコード(PHPスクリプトなど)を実行することができるようになります。これにより攻撃者はサーバー上でシステムコマンドを実行し、サーバーを完全に制御できるようになります。

Cobalt Strikeビーコン(高度な遠隔管理ツール)

このビーコンは攻撃者の指令サーバー(C2サーバー)と通信を確立し、持続的なアクセスを提供します。ビーコンは難読化されていることが多く、一般的なセキュリティ対策を回避できます。

TaoWuツールキット

以下のような攻撃活動が可能になります。

  • 認証情報の窃取(パスワードハッシュなど)
  • 権限昇格(管理者権限の獲得)
  • ネットワーク内での横方向の移動(他のシステムへの侵入)
  • データの収集と流出バックドアの設置による永続的なアクセスの確保

Note

https://www.greynoise.io/blog/mass-exploitation-critical-php-cgi-vulnerability-cve-2024-4577

セキュリティに関する情報をフォロー

セキュリティ運用・保守

クマひよ工房では、EC-CUBEなどのECシステムやWordpressを使ったWebサイトなどのセキュリティ運用・保守サービスを提供しております。