网络安全公司 Akamai 发现，在 6 月披露 PHP 漏洞 CVE-2024-4577 后，大量攻击者迅速尝试利用该漏洞发起攻击。攻击者利用该漏洞传播恶意软件，包括 Gh0st RAT 远程访问木马、RedTail 和 XMRig 加密货币矿机以及 Muhstik DDoS 僵尸网络。该漏洞影响使用中文和日文语言的 Windows 版 PHP 安装程序，攻击者可以绕过命令行，将参数传递给 PHP 直接解释，最终实现远程代码执行 (RCE)。

🤔 **漏洞影响范围:** 该漏洞影响 CGI 模式下的 PHP 安装，主要影响使用中文、日本语言的 Windows 版 PHP 安装程序，特别是 8.1.x 分支下 8.1.29 之前版本，8.2.x 分支下 8.2.20 之前版本，以及 8.3.x 分支下 8.3.8 之前版本。

💻 **攻击者利用方式:** 攻击者利用该漏洞，可以绕过命令行，将参数传递给 PHP 直接解释，从而实现远程代码执行 (RCE)。

😈 **攻击者目的:** 攻击者利用该漏洞传播恶意软件，包括 Gh0st RAT 远程访问木马、RedTail 和 XMRig 加密货币矿机以及 Muhstik DDoS 僵尸网络，对用户造成严重危害。

🛡️ **解决方案:** PHP 官方已发布版本更新，修复了该漏洞。建议用户尽快升级到 8.1.29、8.2.20、8.3.8 版本或更高版本，以确保系统安全。

IT之家 7 月 12 日消息，网络安全公司 Akamai 于 7 月 10 日发布博文，表示今年 6 月披露 PHP 漏洞 CVE-2024-4577 之后，隔天就观测到网络上有大量攻击者尝试利用该漏洞发起攻击。

Akamai 表示在 6 月披露该 PHP 后 24 小时，就观察到大量针对蜜罐服务器的漏洞利用尝试。

这些攻击包括传播名为 Gh0st RAT 的远程访问木马、RedTail 和 XMRig 等加密货币矿机以及名为 Muhstik 的 DDoS 僵尸网络。

该漏洞的 CVSS 评分为 9.8 分（满分 10 分），影响 CGI 模式下的安装方式，主要影响使用中文、日本语言的 Windows 版 PHP 安装程序。

攻击者利用该漏洞，可以绕过命令行，将参数传递给 PHP 直接解释，漏洞本身问题在于 CGI 引擎没有转义软连字号 (0xAD)，没有将 Unicode 字符正确转换为 ASCII 字符，从而导致攻击者可远程代码执行（RCE）。

PHP 目前已经发布版本更新，修复了该漏洞，目前敦促用户尽快升级到 8.1.29、8.2.20、8.3.8 版本，IT之家附上受影响的版本如下：

8.1.x 分支下，影响 8.1.29 此前版本

8.2.x 分支下，影响 8.2.20 此前版本

8.3.x 分支下，影响 8.3.8 此前版本

PHP 8 版本

PHP 7 版本

PHP 5 版本