Serveurs Web – CVE-2024-4577 : cette faille critique dans PHP exploitée à grande échelle !
La faille de sécurité CVE-2024-4577, présente dans PHP et patchée depuis juin 2024, continue d'être exploitée par les pirates informatiques à l'échelle mondiale. Voici ce que l'on sait.
CVE-2024-4577 : une vulnérabilité exploitée depuis plusieurs mois
La faille de sécurité CVE-2024-4577 n'est pas nouvelle. Elle concerne les installations de PHP sur Windows lorsque celui-ci fonctionne en mode CGI. Cette faille critique permet aux attaquants d'exécuter du code arbitraire à distance, mettant en péril l'intégrité des systèmes compromis. Détectée et corrigée en juin 2024, cette vulnérabilité n'en reste pas moins une cible de choix pour les cybercriminels, notamment pour le gang de ransomware TellYouThePass.
Un rapport publié par les chercheurs de Cisco Talos révèle que des attaquants ont exploité cette faille pour cibler des organisations japonaises depuis au moins janvier 2025. Cette vulnérabilité est exploitée pour obtenir un accès persistant aux systèmes compromis, mais aussi effectuer une élévation de privilèges, dérober des identifiants (hash NT) et déployer d'autres outils. Elle représente un vecteur d'attaque très intéressant pour les pirates, puisque les serveurs Web sont souvent exposés sur Internet.
"L'attaquant utilise des plugins du kit Cobalt Strike "TaoWu", disponible publiquement, pour des activités d'exploitation a posteriori.", peut-on lire dans le rapport. Le schéma ci-dessous illustre la chaine d'exploitation identifiée par Cisco Talos.
Une menace qui n'est pas limitée au Japon
Selon GreyNoise, l'exploitation de cette vulnérabilité ne se limite pas au Japon. Depuis janvier 2025, les cybercriminels ont étendu leurs attaques à d'autres régions du monde, avec une recrudescence d'activité observée aux États-Unis, à Singapour et dans plusieurs autres pays (Espagne, Inde, Royaume-Uni). Différents secteurs d'activités sont également ciblés (technologies, télécommunication, éducation, e-commerce).
Dans un nouvel article de blog, GreyNoise évoque une campagne d'exploitation à grande échelle : "Le Global Observation Grid (GOG) de GreyNoise - un réseau mondial de honeypots - a détecté 1 089 adresses IP uniques tentant d'exploiter CVE-2024-4577 au cours du seul mois de janvier 2025."
D'après cette analyse, plus de 43% des adresses IP à l'origine de ces attaques au cours des 30 derniers jours proviennent d'Allemagne et de Chine. Il y a également eu un pic de tentatives d'exploitation en février, ce qui suggère l'utilisation d'outils pour automatiser les scans à grande échelle afin d'identifier les systèmes vulnérables.
Si vous utilisez PHP sur Windows, il est vivement recommandé de vous protéger de la CVE-2024-4577 si ce n'est pas déjà fait...
