В PHP найдена «дыра», которую хакеры уже вовсю используют для установки троянов

Неизвестные хакеры воспользовались багом CVE-2024-4577 для атаки на тайваньский университет с неясными целями. В системы образовательного учреждения установили не встречавшийся ранее бэкдор.

Масса неизвестных

Недавно выявленная критическая уязвимость в языке для разработки веб-приложений PHP позволяет запускать произвольный код удаленно, и злоумышленники уже этим пользуются: университет в Тайване был атакован с помощью ранее не задокументированного бэкдора Msupedge.

Эксперты группы Symantec Threat Hunter Team сообщили, что неизвестные пока хакеры воспользовались багом CVE-2024-4577 (9,8 баллов по шкале CVSS) для установки двух DLL-файлов в каталоги csidl_drive_fixed\xampp\ и csidl_system\wbem\. Одну из этих библиотек запускает сервер Apache HTTP (httpd). Родительский процесс второй DLL установить не удалось.

Наибольшее внимание экспертов привлек тот факт, что бэкдор использует DNS-трафик для обмена данными со своим контрольным сервером. Msupedge устанавливает DNS-тунель, используя код легитимного опенсорсного инструмента dnscat2.

Наибольшее внимание экспертов привлекает использование бэкдором Msupedge DNS-трафика для обмена данными со своим контрольным сервером

«[Бэкдор] получает команды, осуществляя определение имени хоста, – говорится в публикации Symantec. – Через DNS-трафик Msupedge не только получает инструкции, но и использует в качестве таковых получаемые IP-адреса контрольного сервера».

Как пишет издание Hacker News, третий октет разрешенного IP-адреса выполняет функцию переключателя, который регулирует поведение бэкдора; из численного представления IP-адреса вычитается семь, а затем шестнадцатеричное представление полученной величины считывается бэкдором как команда.

Так, например, если третий октет равен 145, новое полученное значение преобразуется в 138 (0x8a) – это команда на создание процесса. В свою очередь, 0x75 – это скачивание файла с URL-адреса, присланного через запись DNS TXT. 0x24 и 0x66 – команды на временную деактивацию («спящий режим»). 0x38 – создание временного файла %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp, а 0x3c – удаление этого файла. Конкретное его назначение осталось невыясненным.

Широкие возможности взлома

Загадкой пока остается и конечная цель хакеров.

«С имеющейся информацией можно лишь догадываться, что именно происходит и с какой целью университет был атакован, хотя, у бэкдоров всегда одно и то же назначение – несанкционированный доступ в чужую инфраструктуру с целью кражи данных, – отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. – В целом же речь идет о том, что на критические уязвимости необходимо реагировать с максимальной оперативностью, особенно в широко распространенных продуктах».

Уязвимость CVE-2024-4577 устранена в последних версиях PHP, однако, по-видимому, в мире остается много уязвимых систем. Об этом свидетельствует энергичное использование этого бага различными кибергруппировками для распространения троянцев, криптомайнеров и расширения DDoS-ботнетов.

Как недавно писал CNews, CVE-2024-4577 позволяет злоумышленникам удаленно запускать вредоносные команды в системах под Windows при условии, что в них используются японо- и китаеязычные локали, то есть наборы параметров, определяющие региональные настройки пользовательского интерфейса, такие как язык, страна, часовой пояс и т.п.