ポスト
#セキュリティネタ 72 本当にそれがニコニコ・KADOKAWAのランサムウェア感染の原因かは知らないけど、Windows版PHP使っている環境持ってたら要注意⚠️⚠️⚠️ 即PHPアップデート&感染有無をチェック 6/6に脆弱性が発表され devco-re.translate.goog/blog/2024/06/0… 6/8にハッキングされたからあり得なくはない😰 pic.twitter.com/8L3PkQuRo9
メニューを開くKADOKAWAのトラブルはPHPのCGI版を用いてPHPスクリプトを実行しWinServerのSHELLスクリプトを書き込みランサムに感染させる手口。 6/8日に通達された脆弱性。尚通常のPHPなら大丈夫。CGI版はソースコードが秘匿できる利点はあるが最近は使われないので古いサーバーから感染したのだろう
みんなのコメント
KADOKAWAの件で気になっているのは、NewsPickの記事で、Blacksuitとされている点です。これだとすると、KADOKAWAはESXiで仮想マシンを上げていたと思われる。ESXiはベンダの関係で今、色々と困難が起きており、脆弱性が放置されていた可能性があります。
尚6/7からPHPの脆弱性突く攻撃があちこちで始まってた x.com/Shadowserver/s… この脆弱性がランサムウェアやWebShellの設置に使われてる security-next.com/158289 WindowsでPHP動かしてる所はやられてるかもと要チェック。 勿論Windows上でPHP動かす開発者は自分のPCも要対策👀 pic.twitter.com/9CcttUEDmN
Attention! We see multiple IPs testing PHP/PHP-CGI CVE-2024-4577 (Argument Injection Vulnerability) against our honeypot sensors starting today, June 7th. Vulnerability affects PHP running on Windows. Patches released June 6th: php.net Exploit PoC is public.