innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

PHP-CGI脆弱性:日本企業を標的とするサイバー攻撃、Cisco Talosが報告 – CVE-2024-4577の詳細と対策

- innovaTopia - (イノベトピア)

Last Updated on 2025-03-07 15:46 by admin

PHP-CGI脆弱性を悪用した日本企業へのサイバー攻撃の実態

2025年3月6日、シスコシステムズのサイバーセキュリティ研究部門Cisco Talosは2025年1月から継続している日本企業を標的としたサイバー攻撃キャンペーンについて報告した。

攻撃者は、Windows上のPHP-CGI実装におけるリモートコード実行(RCE)の脆弱性CVE-2024-4577を悪用して、被害者のマシンに初期アクセスを得ている。この脆弱性は2024年6月6日に公開され、CVSSスコア9.8(危険)と評価されている。

攻撃の標的には、日本の技術、通信、エンターテインメント、教育、電子商取引セクターの組織が含まれている。

攻撃者は、Cobalt Strikeキット「TaoWu」のプラグインを使用して、以下の攻撃を行っている:

  1. PowerShellスクリプトを実行してCobalt StrikeのリバースHTTPシェルコードペイロードを展開
  2. JuicyPotato、RottenPotato、SweetPotatoなどのツールを使用して権限昇格
  3. Windows レジストリの変更、スケジュールされたタスク、カスタムサービスを通じて永続性を確立
  4. wevtutilコマンドを使用してWindowsイベントログを消去
  5. Mimikatzを使用してパスワードとNTLMハッシュを抽出

Cisco Talosの研究者Chetan Raghuprasadは、攻撃者の動機が認証情報の収集以外の目的も含む可能性があると指摘している。

攻撃に使用されているツールには、Browser Exploitation Framework(BeEF)、Viper C2、Blue-Lotusなどが含まれており、これらはAlibabaクラウドサーバーにホストされていることが判明している。

from:PHP-CGI RCE Flaw Exploited in Attacks on Japan’s Tech, Telecom, and E-Commerce Sectors

【編集部解説】

今回のニュースは日本のサイバーセキュリティに影響を与える重要な事案です。PHP-CGIの脆弱性(CVE-2024-4577)を悪用した攻撃が、日本の複数の産業セクターを標的としています。

CVE-2024-4577は、Windows上で動作するPHP-CGIの実装に存在するリモートコード実行(RCE)の脆弱性です。この脆弱性は日本語、中国語(簡体字・繁体字)の言語環境で動作するWindowsシステムに影響を与える可能性があります。

注目すべき点は、この脆弱性が2024年6月に公開されたものの、実際には2012年から存在していたことです。これは、過去の脆弱性(CVE-2012-1823)の修正時に意図せず導入されたものであり、長期間にわたって多くのシステムが脆弱な状態にあった可能性があります。

攻撃者はこの脆弱性を悪用し、被害者のシステムに初期アクセスを獲得した後、Cobalt Strikeなどのツールを使用してシステム内部での活動を拡大しています。

Cisco Talosの分析によると、攻撃者の目的は単なる情報窃取にとどまらない可能性があります。システム内での永続的なアクセスの確立や、高度な権限の獲得を試みていることから、今後の動向に注意が必要です。

この脆弱性の影響は、技術、通信、エンターテインメント、教育、電子商取引など、日本の重要な産業セクターに及んでいます。これらのセクターがサイバー攻撃を受けることで、経済的損失や社会インフラへの影響が懸念されます。

対策としては、該当するPHPのバージョンを最新のものにアップデートすることが重要です。具体的には、PHP 8.1.29、8.2.20、8.3.8以降のバージョンにアップデートすることで、この脆弱性を修正することができます。

長期的には、脆弱性の発見と対応プロセスの改善が求められます。12年間気付かれなかった脆弱性の存在は、ソフトウェアの品質管理とセキュリティ監査の重要性を再認識させるものです。

企業や組織は、この事案を契機にセキュリティ体制の見直しを検討すべきでしょう。特に、レガシーシステムの管理や、定期的なセキュリティ評価の実施が重要になると考えられます。

【編集部追記】

私は趣味でプログラミングをやっているのですが、コード書くのに夢中で結構バージョン管理やアップデートを後回しにしてしまうことがあるのでかなり恐ろしく感じました…。後回し癖はよくないですね!!!
攻撃されないためにも定期的にバージョンを確認したりアップデートをしっかりやりましょう!

【用語解説】

PHP-CGI:
PHPスクリプトを実行するためのインターフェース。Webサーバーとプログラミング言語PHPの間の橋渡し役です。

CVE-2024-4577:
PHP-CGIの脆弱性を示す識別番号。脆弱性を一意に特定するための標準化された方法です。

Cobalt Strike:
ペネトレーションテスト用のツールですが、サイバー攻撃にも悪用されることがあります。

ペネトレーションテスト:
 ペネトレーションテストとは、攻撃者の視点で防御の弱点を探るテストです。システムやネットワークの脆弱性を検出するために、実際の攻撃を模倣してセキュリティを検証する手法です。

【参考リンク】

Cisco Talos(外部)
シスコのセキュリティ研究部門。世界中の脅威情報を収集・分析しています。

PHP公式サイト(外部)
PHPプログラミング言語の公式サイト。最新バージョンの情報やセキュリティアップデートを提供しています。

MITRE ATT&CK(外部)
サイバー攻撃の手法や対策をまとめたナレッジベース。攻撃ツールの情報も掲載しています。

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む

投稿者アバター
アリス
プログラミングが好きなオタク
自己紹介の全文を表示
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » PHP-CGI脆弱性:日本企業を標的とするサイバー攻撃、Cisco Talosが報告 – CVE-2024-4577の詳細と対策

Latest News