后门曝光 黑客应用 破绽入侵 PHP Windows Msupedge 10

8 月 21 日信息，科技媒体 bleepingcomputer 昨日（8 月 20 日）报道，有黑客应用近期修复的 PHP 远程代码口头破绽（CVE-2024-4577）， 在 Windows 系统上部署名为“Msupedge”的后门 。

CVE-2024-4577

IT之家曾于往年 6 月、7 月报道，PHP for Windows 装置包中存在远程代码口头（RCE）破绽，影响到自版以来的一切版本，或许对世界少量主机形成影响。

官方曾经于 6 月颁布补丁修复了该破绽，未经认证的攻打者应用该破绽可以口头恣意代码，并在成功应用后可以让系统齐全解体。

Msupedge 后门

攻打者制造并投放了（Apache 进程装载）和两个灵活链接库文件，经常使用 DNS 流量与命令与控制（C&C）主机启动通讯。

该破绽应用 DNS 隧道（基于开源 dnscat2 工具成功的配置），在 DNS 查问和照应中封装数据，以接纳来自其 C&C 主机的命令。

攻打者可以应用 Msupedge 口头各种命令，这些命令是依据 C&C 主机解析 IP 地址的八比特（Octet）第三位触发的。该后门还允许多种命令，包含创立进程、下载文件和治理暂时文件。

赛门铁克 Threat Hunter Team 团队深化考查了该破绽，以为攻打者是应用 CVE-2024-4577 破绽入侵系统的。

该安保破绽绕过了 PHP 团队针对 CVE-2012-1823 实施的包全措施，而 CVE-2012-1823 在修复多年后被恶意软件攻打应用，应用 RubyMiner 恶意软件攻打 Linux 和 Windows 主机。