Уязвимость затрагивает PHP, когда он работает в режиме CGI, где веб-сервер обрабатывает HTTP-запросы и передает их в скрипт PHP. Даже без режима CGI уязвимость может быть использована, если исполняемые файлы PHP доступны веб-серверу, особенно на платформе XAMPP, которая использует эту конфигурацию по умолчанию. Для атаки также требуется, чтобы локаль Windows была установлена на китайский или японский язык.
Уязвимость была раскрыта 6 июня, и в течение 24 часов злоумышленники начали ее использовать для установки ransomware TellYouThePass. Атакующие использовали бинарный файл mshta.exe в Windows для выполнения HTML-приложений с сервера, контролируемого злоумышленником, используя технику, известную как living off the land, которая использует функции родной ОС для избежания обнаружения.
Исследователи из Censys обнаружили колебания в количестве зараженных серверов, от 670 до 1,800, при этом большинство заражений географически находилось в Китае, Тайване, Гонконге или Японии. Отсутствие наблюдаемых платежей выкупа предполагает, что многие скомпрометированные серверы могли быть выведены из эксплуатации или отключены. Эксперты по безопасности настоятельно рекомендуют администраторам, работающим с PHP на любой системе Windows, немедленно установить последние обновления, чтобы предотвратить дальнейшее использование уязвимости.
Source: Arstechnica
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.