概要
PHP-CGI の遠隔コード実行脆弱性(CVE-2024-4577)を利用した大規模な攻撃が発生しています。主にWindows システム上でPHP-CGIをインストールしている日本の組織が標的とされています。PHP-CGIの重大な遠隔コード実行脆弱性を利用した攻撃で、79 種類の脆弱性が存在します。
また、CVE-2024-4577 の悪用は日本だけでなく、世界中で広範囲にわたっていることが確認されています。特にアメリカ、シンガポール、インドネシア、イギリス、スペイン、インドで活動が観測されました。2025年1月だけで、1,089 のユニーク IP アドレスがこの脆弱性を悪用しようと試みているようです。ドイツと中国からの IP は過去30日間で43%以上を占め、2月には複数国での標的化されたスキャン活動が観測されました。
影響を受けるシステム
Windowsシステム上でPHP-CGIを実行しているインターネットに接続されたシステム。EC-CUBEなどのECシステムもPHPで動いているため、影響を受ける可能性があるか確認が必要です。
対策
Cisco Talos のガイダンスに従うこと。
脆弱性が許可する行動
PHP-CGI の脆弱性を利用して、Cobalt Strike ビーコンやTaoWu ツールキットをインストールし、それらを使用したさらなる攻撃活動を実施することが可能です。
遠隔コード実行(RCE)
攻撃者は認証なしで、Webサーバー上で任意のコード(PHPスクリプトなど)を実行することができるようになります。これにより攻撃者はサーバー上でシステムコマンドを実行し、サーバーを完全に制御できるようになります。
Cobalt Strikeビーコン(高度な遠隔管理ツール)
このビーコンは攻撃者の指令サーバー(C2サーバー)と通信を確立し、持続的なアクセスを提供します。ビーコンは難読化されていることが多く、一般的なセキュリティ対策を回避できます。
TaoWuツールキット
以下のような攻撃活動が可能になります。
- 認証情報の窃取(パスワードハッシュなど)
- 権限昇格(管理者権限の獲得)
- ネットワーク内での横方向の移動(他のシステムへの侵入)
- データの収集と流出バックドアの設置による永続的なアクセスの確保
Note
https://www.greynoise.io/blog/mass-exploitation-critical-php-cgi-vulnerability-cve-2024-4577
セキュリティに関する情報をフォロー
セキュリティ運用・保守
クマひよ工房では、EC-CUBEなどのECシステムやWordpressを使ったWebサイトなどのセキュリティ運用・保守サービスを提供しております。