3 décembre 2024

Krusell France

Ta dose d'actu digital !

Faille de sécurité CVE-2024-4577 dans PHP et menace Msupedge sur Windows

Windows ciblé par la porte dérobée Msupedge
Rate this post

La faille de sécurité CVE-2024-4577 présente dans PHP, et déjà patchée, est exploitée par un groupe de pirates inconnu dans le but de déployer la porte dérobée Msupedge sur les machines Windows. Faisons le point sur cette menace.

Vulnérabilité critique dans PHP : CVE-2024-4577

En juin dernier, la faille de sécurité critique associée à la référence CVE-2024-4577 a beaucoup fait parler d’elle. Elle affecte toutes les versions de PHP sauf les versions PHP 8.3.8, PHP 8.2.20, et PHP 8.1.29, et les versions supérieures. Les serveurs Web sous Windows sont vulnérables, notamment avec IIS, WAMP ou encore XAMPP.

De plus, elle a rapidement été exploitée par le gang de ransomware TellYouThePass afin de compromettre les serveurs Web sous Windows. Elle est particulièrement attrayante pour les cybercriminels, car elle permet une exécution de code à distance sur le serveur pris pour cible.

La porte dérobée Msupedge : une menace supplémentaire

Désormais, un groupe de pirates s’appuieraient sur cette vulnérabilité pour déployer une porte dérobée inconnue jusqu’ici et nommée “Msupedge”. Le rapport de Symantec précise : “Une porte dérobée inédite (Backdoor.Msupedge) utilisant une technique peu fréquente a été déployée lors d’une attaque contre une université de Taïwan.”

Symantec explique que la porte dérobée Msupedge présente la particularité d’utiliser du trafic DNS pour communiquer avec le serveur C2 (Command & Control) des attaquants. Cette technique dite de “DNS tunneling” s’appuie sur un outil open source nommé “dnscat2. Elle permet aux attaquants d’encapsuler des données dans des requêtes et des réponses DNS, et ainsi faciliter la transmission des commandes depuis le serveur C2.

La porte dérobée prend en charge plusieurs commandes, que ce soit pour télécharger des fichiers ou encore créer des processus. Autrement dit, les pirates peuvent l’exploiter pour télécharger et exécuter d’autres souches malveillantes sur la machine Windows compromise.

CVE-2024-4577 : vecteur d’accès initial

Les chercheurs de Symantec ont fait un lien entre cette attaque et la vulnérabilité présente dans PHP : “L’intrusion initiale s’est probablement faite par l’exploitation d’une vulnérabilité PHP récemment corrigée (CVE-2024-4577). Il s’agit d’une faille d’injection d’arguments CGI affectant toutes les versions de PHP installées sur le système d’exploitation Windows.”

De plus, depuis plusieurs semaines, des cybercriminels scannent les serveurs exposés sur Internet pour identifier des serveurs vulnérables à cette faille de sécurité.

Si vous utilisez PHP sur Windows, patchez avant qu’il ne soit trop tard…

Source : www.it-connect.fr

  • julien castex redacteur tech

    Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.

    Voir toutes les publications