79 escenarios de ataque: una vulnerabilidad en PHP otorga acceso total a los sistemas corporativos

Los especialistas de GreyNoise advirtieron sobre la ampliación del alcance de la explotación de una vulnerabilidad crítica en PHP-CGI, que inicialmente afectaba principalmente a organizaciones japonesas. Ahora, los ataques abarcan múltiples regiones, lo que requiere medidas urgentes para protegerse de la amenaza.

Recientemente, Cisco Talos informó sobre la detección de una campaña maliciosa dirigida contra organizaciones en Japón. Durante los ataques, se explotó la vulnerabilidad crítica de ejecución remota de código (RCE) en PHP-CGI CVE-2024-4577 (puntuación CVSS: 9.8).

Los atacantes aprovecharon instalaciones vulnerables de PHP-CGI en sistemas Windows para desplegar Cobalt Strike y llevar a cabo ataques posteriores utilizando el conjunto de herramientas TaoWu. Las principales características de los ataques incluyen el uso de solicitudes HTTP POST con un hash MD5 como indicador de implantación exitosa, la descarga de scripts maliciosos de PowerShell y el alojamiento de infraestructura C2 en Alibaba Cloud.

Según GreyNoise, el alcance de los ataques es significativamente mayor de lo que se pensaba inicialmente. En enero de 2025, se detectaron más de 1089 direcciones IP únicas intentando explotar la vulnerabilidad. Se conocen un total de 79 métodos de explotación que permiten la ejecución remota de código en sistemas vulnerables.

GreyNoise confirmó que los ataques abarcan múltiples regiones, incluidas EE. UU., Singapur, Reino Unido, España e India, con un aumento notable de actividad a finales de enero. Más del 43% del tráfico malicioso registrado proviene de Alemania y China. En febrero, se observaron nuevos picos de intentos de explotación, lo que indica un escaneo automatizado de redes en busca de objetivos vulnerables.

CVE-2024-4577 fue descubierta y recibió una corrección en el verano de 2024, sin embargo, los ataques continuaron. El objetivo principal de los atacantes era el robo de credenciales y un posible acceso persistente al sistema para ataques futuros. En agosto, se registró un ataque contra una universidad en Taiwán, lo que demuestra que el problema comenzó a expandirse fuera de Japón mucho antes de la alerta de GreyNoise.

Los especialistas recomiendan encarecidamente a las organizaciones que utilizan servidores Windows con acceso abierto a PHP-CGI seguir las recomendaciones, realizar un análisis retrospectivo del tráfico de red y bloquear de manera oportuna las direcciones IP maliciosas, además de instalar las últimas actualizaciones de seguridad.