Дыра в РНР позволяет запускать вредоносные скрипты на веб-сайтах.
В начале марта 2025 года стало известно о том, что киберпреступники активно эксплуатируют критическую уязвимость в PHP-CGI на платформах Windows. Атакам подвергаются компании по всему миру.
Речь идет о дыре CVE-2024-4577, которая имеет рейтинг опасности 9,8 балла из 10 по шкале CVSS. Это уязвимость удаленного выполнения кода (RCE), которая затрагивает PHP-инсталляции с активным режимом CGI. Эксплуатируя брешь, злоумышленники могут запускать вредоносные скрипты на веб-серверах. Разработчики PHP выпустили патчи для дыры в июне 2024 года, однако многие системы остаются уязвимыми для атак.
Как сообщает Cisco Talos, неизвестные злоумышленники с января 2025 года используют брешь CVE-2024-4577 для организации кибернападений на японские компании. Хакеры, в частности, пытаются похитить учетные данные атакованных предприятий с целью их последующего использования в ходе различных киберопераций. В рамках атак преступники стремятся закрепиться во взломанных системах, повысить уровень своих привилегий и внедрить различные вредоносные инструменты. Кроме того, злоумышленники выполняют сетевую разведку для выявления потенциальных целей.
Вместе с тем специалисты GreyNoise предупреждают, что киберпреступники эксплуатируют дыру CVE-2024-4577 для проведения атак на организации по всему миру. Помимо Японии, всплеск вредоносной активности зафиксирован в США, Сингапуре, Индонезии, Британии, Испании и Индии. Более 43% IP-адресов, подвергшихся атаке через уязвимость CVE-2024-4577 в течение 30 дней (к началу марта 2025 года), находятся в Германии и Китае.
Критическая уязвимость позволяет хакерам убежать из виртуальной машины VMware.
В начале марта ФСТЭК предупредила о появлении критической уязвимости BDU:2025-02354, которая обнаружена в гипервизорах VMware ESXi и Vmware Workstation. Ее критичность установлена на уровне 9,3 из 10 по классификации CVSSv3. К сожалению, для нее существует эксплойт, что упрощает злоумышленникам возможность организации атак на уязвимые системы. Впрочем, производитель выпустил исправления для указанной уязвимости, которые специалисты ФСТЭК рекомендуют установить. Однако производитель не оказывает поддержки на территории России.
Уязвимость связана с ошибками синхронизации при использовании общего ресурса, которая называется «ситуацией гонки». Она позволяет нарушителю выполнить произвольный код в контексте гипервизора, то есть «убежать» из виртуальной машины (ВМ). Правда ему для этого необходимо иметь права администратора в одной из ВМ, запущенных в среде исполнения гипервизора.
Эксперт рекомендует немедленно обновить VMware до версий, в которых уязвимость устранена. Если обновление невозможно – изолировать гипервизоры от прямого доступа из публичного интернета. Также было бы полезно внедрить сегментацию сетей, ограничив доступ к управлению гипервизором только доверенным IP-адресам. Поможет в защите облачных решений и мониторинг аномалий с помощью SIEM-систем – он обеспечит выявление подозрительных действий, таких как попытки выполнения несанкционированных команд. Не менее важно организовать регулярное резервное копирование виртуальных машин на изолированные носители, чтобы минимизировать ущерб в случае атаки.
В репозиториях ПО с открытыми исходниками нашли тысячи вирусов. Их почти невозможно обнаружить.
10 марта 2025 года специалисты FortiGuard Labs обнародовали результаты исследования, говорящие о том, что через репозитории программного обеспечения с открытым исходным кодом распространяются тысячи вредоносных пакетов, использующих различные методы для компрометации систем. При этом киберпреступники применяют всевозможные тактики для затруднения обнаружения зловредов.
Эксперты FortiGuard Labs, в частности, обнаружили 1082 пакета с небольшим количеством файлов и минимальным использованием программного кода для незаметного выполнения вредоносных действий. Еще 1043 пакета не имеют URL-адреса репозитория, что затрудняет их отслеживание. Выявлены 1052 пакета, содержащих подозрительные установочные скрипты: они предназначены для скрытого развертывания вредоносного кода во время установки.
Злоумышленники часто применяют такие обманные приемы, как искусственное завышение номеров версий и пустые описания: это позволяет ввести пользователя в заблуждение и вынудить его загрузить вредоносный пакет под видом обновления. Специалисты FortiGuard Labs, например, обнаружили 537 пакетов с пустыми описаниями и 164 пакета с необычно высокими номерами версий. Кроме того, выявлены 974 пакета, в которые включены подозрительные URL-адреса, потенциально облегчающие связь с серверами управления и контроля. Для 681 пакета используются подозрительные API, содержащие команды для извлечения данных или выполнения удаленного управления.
В исследовании также сказано, что вредоносные пакеты часто используют обфускацию (запутывание программного кода) и перезапись команд, что позволяет злоумышленникам скрытно выполнять определенные действия, такие как эксфильтрация данных и несанкционированный доступ к системе.