捷维科技 8 月 21 日消息,科技媒体 bleepingcomputer 昨日(8 月 20 日)报道,有黑客利用近期修复的 PHP 远程代码执行漏洞(CVE-2024-4577),在 Windows 系统上部署名为“Msupedge”的后门。
CVE-2024-4577
捷维科技曾于今年 6 月、7 月报道,PHP for Windows 安装包中存在远程代码执行(RCE)漏洞,影响到自 5.x 版以来的所有版本,可能对全球大量服务器造成影响。
官方已经于 6 月发布补丁修复了该漏洞,未经认证的攻击者利用该漏洞可以执行任意代码,并在成功利用后可以让系统完全崩溃。
Msupedge 后门
攻击者制作并投放了 weblog.dll(Apache 进程 httpd.exe 装载)和 wmiclnt.dll 两个动态链接库文件,使用 DNS 流量与命令与控制(C&C)服务器进行通信。
该漏洞利用 DNS 隧道(基于开源 dnscat2 工具实现的功能),在 DNS 查询和响应中封装数据,以接收来自其 C&C 服务器的命令。