3 月 12 日消息，科技媒体 bleepingcomputer 昨日（3 月 11 日）发布博文，报道称影响 Windows 系统的 PHP 远程代码执行漏洞 CVE-2024-4577 正被大规模利用。

该漏洞虽然已经于 2024 年 6 月修复，但攻击者依然利用该漏洞，在全球范围内发起广泛攻击，控制尚未及时修复的系统。

曾于 2024 年 8 月详细介绍 CVE-2024-4577 漏洞，它是一个 PHP-CGI 参数注入漏洞，影响以 CGI 模式运行的 Windows PHP 安装，成功利用该漏洞的攻击者可在未经授权的情况下执行任意代码，导致系统完全被控制。

Cisco Talos 发现，自 2025 年 1 月起，未知攻击者利用该漏洞攻击日本组织，窃取凭证信息外，还尝试建立持久性、提升权限至 SYSTEM 级别，并部署“TaoWu”Cobalt Strike 工具包。

GreyNoise 报告称，攻击者已将目标扩展至全球，美国、新加坡、日本等国成为重灾区。2025 年 1 月，其全球蜜罐网络（GOG）检测到 1089 个独特 IP 地址尝试利用该漏洞。

GreyNoise 数据显示，网络上至少存在 79 款利用该漏洞的工具，在 2025 年 2 月，检测到多国网络中的利用尝试激增，表明攻击者正在自动化扫描易受攻击的目标。