Tehdit aktörleri, kripto para madencileri ve Quasar RAT gibi uzaktan erişimli truva atlarını (RAT) dağıtmak için PHP’deki ciddi bir güvenlik açığından faydalanıyor.

CVE-2024-4577 tanımlayıcısı ile işaretlenen bu güvenlik açığı, CGI modunda çalışan Windows tabanlı sistemleri etkileyen ve uzaktan saldırganların keyfi kod çalıştırmasına olanak tanıyabilen bir argüman enjeksiyonu açığıdır.

Tespit edilen istismar girişimlerinin yaklaşık %15’i, "whoami" veya "echo <test_string>" gibi temel komutları kullanan basit güvenlik açığı kontrollerini içeriyor. Diğer saldırılar ise, açık kaynaklı Quasar RAT gibi uzaktan erişim araçlarını kullanarak, cmd.exe ile uzak sunucularda barındırılan kötü amaçlı Windows yükleyici (MSI) dosyalarının çalıştırılmasını hedef alıyor.

Bu tip saldırılardan korunmak için alınması gereken diğer tedbirler şunlar olabilir:

• PHP Konfigürasyonunun Güçlendirilmesi

• Güçlü Web Uygulama Güvenlik Duvarı (WAF) Kullanımı

• Güvenlik Yaması ve Güncellemelerinin Düzenli Olarak Yapılması

• Web Sunucu Güvenliğinin Artırılması

• Loglama ve İzleme

• Güvenli Kod Geliştirme Uygulamaları

• Erişim Kontrollerinin Sıkılaştırılması

• Çift Faktörlü Kimlik Doğrulama (2FA)