ក្រុមហ៊ុនស៊ើបអង្កេតការគំរាមកំហែង GreyNoise ព្រមានថា ភាពងាយរងគ្រោះប្រតិបត្តិការកូដពីចម្ងាយ PHP ដ៏សំខាន់ដែលប៉ះពាល់ដល់ប្រព័ន្ធ Windows ឥឡូវនេះកំពុងតែត្រូវបានកេងចំណេញយ៉ាងសកម្ម។
បញ្ហា CVE-2024-4577 ជាកំហុសនៃការចាក់បញ្ចូល PHP-CGI Argument ត្រូវបាន Patch កាលពីពាក់កណ្តាលឆ្នាំ២០២៤ និងប៉ះពាល់ដល់ការដំឡើង Windows PHP ជាមួយនឹងដំណើរការ PHP នៅក្នុង CGI Mode។ ការកេងចំណេញដែលជោគជ័យអាចបណ្តាលឱ្យហេគឃ័រដែលគ្មានសិទ្ធិចូលទៅដំណើរការកូដតាមចិត្ត និងឈានទៅរកការគ្រប់គ្រងប្រព័ន្ធទាំងស្រុង បន្ទាប់ពីការកេងចំណេញ។ មួយថ្ងៃក្រោយពីអ្នកថែទាំ PHP បានបញ្ចេញ CVE-2024-4577 Patches កាលពីពាក់កណ្តាលឆ្នាំ២០២៤ បន្ទប់ពិសោធ WatchTowr បានបញ្ចេញកូដបំពាន Proof-of-concept (PoC) និងអង្គការ Shadowserver Foundation បានរាយការណ៍ពីការរកឃើញការប៉ុនបងកេងចំណេញ។
ការព្រមានរបស់ក្រុមហ៊ុន GreyNoise បានធ្វើឡើងបន្ទាប់ពីក្រុមហ៊ុន Cisco Talos បានបង្ហាញកាលពីមុននេះថា ហេគឃ័រមិនស្គាល់អត្តសញ្ញាណបានកេងចំណេញលើភាពងាយរងគ្រោះ PHP ដូចគ្នា ដើម្បីចូលទៅរកគោលដៅស្ថាប័នជប៉ុនតាំងពីដើមឆ្នាំ២០២៥។ ខណៈក្រុមហ៊ុន Talos បានសង្កេតឃើញពីការប៉ុនប៉ងលួចអត្តសញ្ញាណរបស់ហេគឃ័រ ក្រុមហ៊ុនជឿជាក់ថាគោលបំណងពង្រីករបស់ហេគឃ័រគ្រាន់តែចង់ប្រមូលអត្តសញ្ញាណ ដោយផ្អែកលើសកម្មភាពក្រោយការកេងចំណេញ ដែលរួមមានការបង្កើតវត្តមានជាប់លាប់ ការបង្កើនសិទ្ធិចូលទៅក្នុង SYSTEM level ការដាក់ពង្រាយ Tools និងក្របខណ្ឌរបស់ហេគឃ័រ បូករួមទាំងការប្រើប្រាស់មេរោគ “TaoWu” Cobalt Strike kit plugins។
ការវាយប្រហារថ្មីពង្រីកខ្លួនទៅកាន់ពិភពលោក៖ ទោះជាយ៉ាងណា ក្រុមហ៊ុន GreyNoise បានរាយការណ៍ពីហេគឃ័រនៅពីក្រោយសកម្មភាពព្យាបាទនេះបានពង្រីកខ្លួនដោយកំណត់គោលដៅលើឧបករណ៍ដែលងាយរងគ្រោះជាសកល ជាមួយនឹងការកើនឡើងគួរឱ្យកត់សម្គាល់នៅក្នុងប្រទេសអាមេរិក សិង្ហបូរី ជប៉ុន និងប្រទេសដទៃទៀតតាំងពីដើមឆ្នាំ២០២៥។ គ្រាន់តែមួយខែមករាសោះ បណ្តាញហេគឃ័រនៅទូទាំងពិភពលោកដែលគេស្គាល់ថាជា Global Observation Grid (GOG) បានរកឃើញអាសយដ្ឋាន IP ចំនួន ១,០៨៩ ដែលព្យាយាមកេងចំណេញលើបញ្ហាសុវត្ថិភាព PHP នេះ។
ខណៈ របាយការណ៍ដំបូងបានផ្តោតលើការវាយប្រហារនៅក្នុងប្រទេសជប៉ុន ទិន្នន័យក្រុមហ៊ុន GreyNoise បញ្ជាក់ថា ការកេងចំណេញកាន់តែរីករាលដាល ច្រើនជាង ៤៣% នៃ Ips ដែលមានគោលដៅលើបញ្ហា CVE-2024-4577 នៅក្នុងរយៈពេល ៣០ថ្ងៃមុន មានប្រភពមកពីប្រទេសអាឡឺម៉ង់ និងចិន បើយោងតាមក្រុមហ៊ុនស៊ើបការណ៍ការគំរាមកំហែង ដែលព្រមានថា យ៉ាងហោចណាស់ការកេងចំណេញចំនួន ៧៩ កើតឡើងនៅលើអនឡាញ។ នៅក្នុងខែកុម្ភៈ ក្រុមហ៊ុន GreyNoise បានរកឃើញការសម្របសម្រួលកើនឡើងប្រឆាំងនឹងបណ្តាញណិតវើកនៅក្នុងប្រទេសចម្រុះ ដែលណែនាំការស្គេនដោយស្វ័យប្រវត្តិបន្ថែមសម្រាប់គោលដៅដែលងាយរងគ្រោះ។ ពីមុន បញ្ហា CVE-2024-4577 ត្រូវបានកេងចំណេញដោយហេគឃ័រមិនស្គាល់អត្តសញ្ញាណ ដែលជា Backdoored a University’s Windows Systems នៅក្នុងប្រទេសតៃវ៉ាន់ ជាមួយនឹងការរកឃើញមេរោគថ្មីឈ្មោះ Msupedge។ ក្រុមមេរោគចាប់ជម្រិត TellYouThePass ក៏បានចាប់ផ្តើមកេងចំណេញលើភាពងាយរងគ្រោះ ដើម្បីដាក់ពង្រាយស្គ្រីបមេរោគ (Webshells) និងអ៊ីនគ្រីបប្រព័ន្ធរបស់ជនរងគ្រោះមិនដល់ ៤៨ម៉ោងផង បន្ទាប់ពី Patchs ត្រូវបានបញ្ចេញកាលពីពាក់កណ្តាលឆ្នាំ២០២៤។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១១ ខែមីនា ឆ្នាំ២០២៥
