【知道创宇404实验室】CVE-2024-4577从漏洞广告到勒索攻击只用了2天

之前我写过很多通过ZoomEye来对勒索等攻击事件进行态势感知的案例（请翻看本号的历史文章），这次简单看看这几天的CVE-2024-4577 PHP这个漏洞，这里直接ZoomEye搜索php.locked 这个主要找到都是存在目录遍历问题的目标，因为很多的勒索攻击喜欢加密后修改后缀为.locked

从上图可以看出2024年的数据分布最多，这个也说明在之前勒索攻击一直都存在，然后中国数据发现taiwan省的最多，所以我们选取taiwan的数据进行进一步分析

ZoomEye搜索 php.locked +subdivisions:Taiwan 139个结果（注意这里使用的搜索关键词选取限制了都是支持目录遍历的目标，不代表所有被攻击类似的数据）里都发生在2024-06-08之后，其中在2024-06-08 05:07 ZoomEye探测到第一个中国台湾省的被勒索：113.196.187.28 大部分的应用都符合XAMMP，这些都符合CVE-2024-4577的漏洞条件，而CVE-2024-4577发布的时间是2024-06-06

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/

注：