위협 인텔리전스 회사 GreyNoise는 윈도우 시스템에 영향을 미치는 중요한 PHP 원격 코드 실행 취약점이 대량으로 악용되고 있다고 경고했습니다. 이 PHP-CGI 인수 주입 결함은 CVE-2024-4577로 추적되며, 2024년 6월에 패치되었습니다. 이 취약점은 PHP가 CGI 모드에서 실행되는 윈도우 PHP 설치에 영향을 미치며, 성공적인 악용은 인증되지 않은 공격자가 임의의 코드를 실행하게 하고, 성공적인 악용 후에는 시스템 전체가 탈취될 수 있습니다. PHP 유지 관리자가 2024년 6월 7일에 CVE-2024-4577 패치를 릴리스한 다음 날, WatchTowr Labs는 개념 증명(PoC) 익스플로잇 코드를 릴리스했고, Shadowserver Foundation은 악용 시도를 보고했습니다.
Cisco Talos가 이전에 알려지지 않은 공격자가 2025년 1월 이후로 적어도 일본 조직을 대상으로 동일한 PHP 취약점을 악용했다고 밝힌 후 GreyNoise의 경고가 이어졌습니다. Talos는 공격자들이 자격 증명을 훔치려고 시도하는 것을 관찰했지만, 지속성을 확립하고, 권한을 SYSTEM 수준으로 상승시키고, 적대적인 도구와 프레임워크를 배포하고, "TaoWu" Cobalt Strike 키트 플러그인을 사용하는 등의 후속 악용 활동을 기반으로 그들의 목표가 단순한 자격 증명 수확을 넘어선다고 믿습니다.
그러나 GreyNoise가 보고한 바에 따르면, 이 악의적인 활동의 배후에 있는 위협 행위자들은 미국, 싱가포르, 일본 등의 국가에서 눈에 띄게 증가한 취약한 장치를 전 세계적으로 대상으로 하여 훨씬 넓은 네트워크를 형성하고 있습니다. 2025년 1월에만 그들의 전 세계적인 허니팟 네트워크인 Global Observation Grid (GOG)는 이 PHP 보안 결함을 악용하려는 1,089개의 고유 IP 주소를 발견했습니다. "초기 보고서는 일본에서의 공격에 초점을 맞추었지만, GreyNoise 데이터는 악용이 훨씬 더 널리 퍼져 있다는 것을 확인한다. [...] 지난 30일 동안 CVE-2024-4577을 대상으로 하는 IP의 43% 이상이 독일과 중국에서 나왔다."라고 위협 인텔리전스 회사는 말했습니다. 그들은 온라인에서 적어도 79개의 익스플로잇이 사용 가능하다고 경고했고 "2월에는 GreyNoise가 여러 국가의 네트워크에 대한 공격 시도에서 조정된 급증을 감지했으며, 이는 취약한 대상에 대한 추가적인 자동 스캔을 제안한다."고 말했습니다.
요약
- 위협 정보 회사 GreyNoise는 윈도우 시스템에 영향을 미치는 중요한 PHP 원격 코드 실행 취약점이 대량으로 악용되고 있다고 경고했다.
- 이 취약점은 PHP가 CGI 모드에서 실행되는 윈도우 PHP 설치에 영향을 미치며, 성공적인 악용은 인증되지 않은 공격자가 임의의 코드를 실행하게 하고, 성공적인 악용 후에는 시스템 전체가 탈취될 수 있다.
- GreyNoise는 이 악의적인 활동의 배후에 있는 위협 행위자들이 미국, 싱가포르, 일본 등의 국가에서 눈에 띄게 증가한 취약한 장치를 전 세계적으로 대상으로 하여 훨씬 넓은 네트워크를 형성하고 있다고 보고했다.
- GreyNoise 데이터는 악용이 훨씬 더 널리 퍼져 있다는 것을 확인하였으며, 지난 30일 동안 CVE-2024-4577을 대상으로 하는 IP의 43% 이상이 독일과 중국에서 나왔다.
- GreyNoise는 온라인에서 적어도 79개의 익스플로잇이 사용 가능하다고 경고하였으며, 2월에는 여러 국가의 네트워크에 대한 공격 시도에서 조정된 급증을 감지하였다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.