Lỗ hổng này ảnh hưởng đến PHP khi nó chạy ở chế độ CGI, nơi một máy chủ web phân tích các yêu cầu HTTP và chuyển chúng đến một tập lệnh PHP. Ngay cả khi không có chế độ CGI, lỗ hổng có thể bị khai thác nếu các tệp thực thi PHP có thể truy cập được bởi máy chủ web, đặc biệt là trên nền tảng XAMPP, nơi sử dụng cấu hình này theo mặc định. Cuộc tấn công cũng yêu cầu ngôn ngữ hệ thống Windows được thiết lập thành tiếng Trung hoặc tiếng Nhật.
Lỗ hổng đã được công bố vào ngày 6 tháng 6, và trong vòng 24 giờ, các tin tặc đã bắt đầu khai thác nó để cài đặt mã độc tống tiền TellYouThePass. Các tin tặc đã sử dụng tệp thực thi mshta.exe của Windows để thực thi các tệp ứng dụng HTML từ một máy chủ do tin tặc kiểm soát, sử dụng một kỹ thuật được gọi là living off the land, sử dụng các chức năng gốc của hệ điều hành để tránh bị phát hiện.
Các nhà nghiên cứu của Censys đã phát hiện ra sự dao động trong số lượng máy chủ bị nhiễm, dao động từ 670 đến 1.800, với hầu hết các ca nhiễm nằm ở Trung Quốc, Đài Loan, Hồng Kông hoặc Nhật Bản. Việc thiếu các khoản thanh toán tiền chuộc được quan sát thấy cho thấy nhiều máy chủ bị xâm phạm có thể đã bị ngừng hoạt động hoặc ngừng trực tuyến. Các chuyên gia bảo mật kêu gọi các quản trị viên chạy PHP trên bất kỳ hệ thống Windows nào cài đặt các bản cập nhật mới nhất kịp thời để ngăn chặn việc khai thác thêm.
Source: Arstechnica
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.