Заражены до 1800 серверов: найдена критическая уязвимость PHP

Серьезная уязвимость в PHP, отслеживаемая как CVE-2024-4577, была использована злоумышленниками, что привело к заражению до 1800 серверов, преимущественно в Китае. Дефект, затрагивающий PHP в режиме CGI, позволяет злоумышленникам выполнять вредоносный код на веб-серверах. В результате на взломанных серверах появляются зашифрованные файлы с расширением .locked, а за их расшифровку требуют выкуп в размере около 6500 долларов.

Уязвимость, получившая оценку 9,8 из 10 по степени серьезности, возникает из-за ошибок при преобразовании символов Unicode в ASCII в PHP. Эксплоит использует функцию Windows Best Fit для обхода критической уязвимости PHP 2012 года (CVE-2012-1823). Хотя эта уязвимость встречается редко, она может быть использована в таких средах, как XAMPP, которые запускают исполняемые файлы PHP в веб-доступных каталогах.

Атаки TellYouThePass начались 7 июня, через день после раскрытия уязвимости, причем в основном атакам подвергались серверы в китайской и японской локализациях. Несмотря на колебания в количестве зараженных серверов - от 670 до 1800, - атаки подчеркивают важность "своевременного исправления", пишут СМИ.