La vulnerabilidad afecta a PHP cuando se ejecuta en modo CGI, donde un servidor web analiza las solicitudes HTTP y las pasa a un script PHP. Incluso sin el modo CGI, la vulnerabilidad puede ser explotada si los ejecutables de PHP son accesibles por el servidor web, particularmente en la plataforma XAMPP, que utiliza esta configuración por defecto. El ataque también requiere que la configuración regional de Windows esté configurada en chino o japonés.
La vulnerabilidad fue divulgada el 6 de junio y, en un plazo de 24 horas, los atacantes comenzaron a explotarla para instalar el ransomware TellYouThePass. Los atacantes utilizaron el binario mshta.exe de Windows para ejecutar archivos de aplicaciones HTML desde un servidor controlado por los atacantes, empleando una técnica conocida como living off the land, que utiliza funcionalidades nativas del sistema operativo para evitar la detección.
Los investigadores de Censys detectaron fluctuaciones en el número de servidores infectados, que oscilan entre 670 y 1,800, con la mayoría de las infecciones localizadas en China, Taiwán, Hong Kong o Japón. La falta de pagos de rescate observados sugiere que muchos servidores comprometidos pueden haber sido desmantelados o desconectados. Los expertos en seguridad instan a los administradores que ejecutan PHP en cualquier sistema Windows a instalar las últimas actualizaciones de inmediato para prevenir una mayor explotación.
Source: Arstechnica
Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net o puede intentarlo usted mismo utilizando check.website.