Superposición del sitio

Vulnerabilidad Crítica de PHP RCE explotada Masivamente en nuevos Ataques

Por Pablo, Técnico en Sistemas Informáticos y Redes

Una vulnerabilidad crítica de ejecución remota de código (RCE) en PHP, que afecta a los sistemas Windows, está siendo explotada masivamente en nuevos ataques, según la compañía de inteligencia de amenazas GreyNoise.

La vulnerabilidad, rastreada como CVE-2024-4577, se debe a un problema de inyección de argumentos PHP-CGI que afecta a las instalaciones de PHP en modo CGI en Windows. La explotación exitosa de esta vulnerabilidad permite a los atacantes no autenticados ejecutar código arbitrario, lo que podría comprometer completamente el sistema.

Detalles sobre la Vulnerabilidad y su Explotación

Esta vulnerabilidad fue parcheada en junio de 2024, después de que los mantenedores de PHP publicaran las actualizaciones correspondientes el 7 de junio. Al día siguiente, WatchTowr Labs lanzó un código de prueba de concepto (PoC) para demostrar cómo los atacantes podrían aprovechar la falla, y la Shadowserver Foundation comenzó a reportar intentos de explotación.

El alerta de GreyNoise llega tras un informe de Cisco Talos, que reveló que un atacante desconocido había estado utilizando esta misma vulnerabilidad para atacar a organizaciones en Japón desde enero de 2025.

Objetivos y Actividades Posteriores a la Explotación

Aunque Talos observó que los atacantes intentaban robar credenciales, sus actividades posteriores a la explotación sugieren que sus objetivos van más allá de la simple recolección de credenciales. Entre estas actividades se incluyen:

  • Establecer persistencia en los sistemas comprometidos
  • Elevar privilegios a nivel de SYSTEM
  • Desplegar herramientas y marcos adversariales
  • Uso de plugins del kit Cobalt Strike TaoWu para realizar ataques adicionales

Ataques Más Amplios a Nivel Global

GreyNoise informa que los atacantes han expandido su objetivo a una mayor cantidad de dispositivos a nivel mundial, con un aumento significativo en ataques observados en EE.UU., Singapur, Japón y otros países desde enero de 2025.

En enero de 2025, la red de honeypots Global Observation Grid (GOG) de GreyNoise detectó 1,089 direcciones IP únicas que intentaban explotar la vulnerabilidad de PHP. La compañía señala que, aunque los informes iniciales se centraron en ataques en Japón, los intentos de explotación están mucho más extendidos.

“Más del 43% de las direcciones IP que intentaron explotar CVE-2024-4577 en los últimos 30 días provienen de Alemania y China“, según GreyNoise, que también alertó que existen al menos 79 exploits disponibles en línea.

Explotación por Grupos de Amenazas

En febrero de 2025, GreyNoise detectó un pico coordinado de intentos de explotación contra redes en múltiples países, lo que sugiere un escaneo automatizado adicional para identificar objetivos vulnerables.

Cabe destacar que esta vulnerabilidad ya fue explotada previamente por atacantes desconocidos que infectaron los sistemas de Windows de una universidad en Taiwán con un malware recién descubierto llamado Msupedge.

El grupo de ransomware TellYouThePass también comenzó a explotar esta vulnerabilidad para desplegar webshells y cifrar los sistemas de las víctimas menos de 48 horas después de que se publicaran los parches en junio de 2024.

💘 COMPARTE O CREA TU RESUMEN CON IA O COMPARTE 🤖
ChatGPTGoogle AIGeminiGrokPerplexityLinkedInBluesky

Descubre más desde CIBERED

Suscríbete y recibe las últimas entradas en tu correo electrónico.

© 2026 CIBERED. Todos los derechos reservados

Sitemap | Sobre Mí | Contacto | Política de Cookies | Política de Privacidad

CIBERED - ACADEMIA DIGITAL DE TECNOLOGÍA, COMPARTIENDO CONOCIMIENTO DESDE 2017