Expertos advierten que esta grave vulnerabilidad en PHP podría transformarse en un problema global.

Investigadores de ciberseguridad de Cisco Talos han identificado recientemente una vulnerabilidad crítica en PHP-CGI, la cual se ha utilizado en ataques dirigidos a empresas japonesas. Estos hallazgos han llevado a expertos de GreyNoise a enfatizar la necesidad de una "acción inmediata" para abordar esta amenaza a nivel global.

En su informe, GreyNoise destacó que Cisco Talos ha observado que actores maliciosos están apuntando a organizaciones en Japón mediante CVE-2024-4577, una grave falla de ejecución remota de código (RCE) en PHP-CGI que cuenta con 79 exploits disponibles. Los investigadores de Cisco Talos indicaron que el atacante, cuyo nombre no se ha revelado, ha utilizado esta vulnerabilidad para robar credenciales y mantener la persistencia en el sistema objetivo, lo que sugiere una alta probabilidad de futuros ataques.

A pesar de que Talos se centró en el análisis de las víctimas y las tácticas de los atacantes, la telemetría de GreyNoise revela un patrón de explotación mucho más amplio, lo que exige una reacción inmediata por parte de los defensores globalmente.

La explotación de esta vulnerabilidad ha sido observada no solo en Japón, sino también en Estados Unidos, Singapur y otros países. Desde enero de este año, el sistema Global Observation Grid de GreyNoise, que consiste en una red mundial de honeypots, detectó 1,089 direcciones IP únicas intentando explotar CVE-2024-4577 solo en enero de 2025. De ellas, casi la mitad (43%) provenía de Alemania o China.

Cisco Talos ha emitido recomendaciones para ayudar a las empresas con sistemas Windows expuestos a PHP-CGI a mitigar esta amenaza y defenderse contra posibles ataques. Además, se anunció que un parche fue lanzado durante el verano de 2024, y los expertos de GreyNoise aconsejan a los usuarios realizar búsquedas retrospectivas para identificar patrones de explotación similares.