استغلال ثغرة PHP CVE-2024-4577 يثير هجمات البرمجيات الخبيثة الكبرى وهجمات DDoS

في تطور مثير للقلق، قامت العديد من الجهات الفاعلة في مجال التهديد السيبراني باستغلال الثغرة الأمنية التي تم الكشف عنها مؤخرًا في PHP، والتي تم تحديدها باسم CVE-2024-4577 . يسمح هذا الخلل الخطير، الحاصل على درجة CVSS تبلغ 9.8، للمهاجمين بتنفيذ أوامر ضارة عن بعد على أنظمة Windows التي تستخدم اللغات الصينية واليابانية. أدت الثغرة الأمنية، التي تم الكشف عنها علنًا في أوائل يونيو 2024، إلى زيادة كبيرة في توزيع البرامج الضارة وهجمات DDoS.

أوضح باحثو Akamai كايل ليفتون وألين ويست وسام تينكلينبيرج في تحليلهم أن CVE-2024-4577 يسمح للمهاجمين بتجاوز سطر الأوامر وتفسير الوسائط مباشرة في PHP بسبب مشكلات في تحويل Unicode إلى ASCII. تم استغلال هذا الخلل بسرعة من قبل المهاجمين، كما يتضح من خوادم مصائد الجذب التي تكتشف محاولات الاستغلال خلال 24 ساعة من الكشف العلني عن الثغرة الأمنية.

تتضمن محاولات الاستغلال هذه تسليم مجموعة متنوعة من الحمولات الضارة، مثل حصان طروادة Gh0st RAT للوصول عن بعد، وعمال المناجم للعملات المشفرة مثل RedTail وXMRig، وشبكة Muhstik DDoS botnet. تمت ملاحظة أن المهاجمين يستخدمون خللًا في الواصلة الناعمة لتنفيذ طلب wget لبرنامج نصي shell، والذي يقوم بعد ذلك باسترداد وتثبيت البرنامج الضار لتعدين التشفير RedTail من عنوان IP موجود في روسيا.

ومما زاد من المخاوف، ذكرت شركة Imperva الشهر الماضي أن نفس الثغرة الأمنية يتم استغلالها من قبل جهات فاعلة تقوم بتوزيع نسخة .NET من برنامج الفدية TellYouThePass . وهذا يسلط الضوء على الاعتماد الواسع النطاق للاستغلال من قبل مجموعات مختلفة من مجرمي الإنترنت.

يُنصح بشدة المؤسسات التي تستخدم PHP بتحديث عمليات التثبيت الخاصة بها إلى الإصدار الأحدث للحماية من هذه التهديدات النشطة. ويؤكد الاستغلال السريع لهذه الثغرة الأمنية على تقلص النافذة التي يتعين على المدافعين التصرف فيها بعد الكشف عن ثغرة أمنية جديدة.

وفي أخبار ذات صلة، أبلغت Cloudflare عن زيادة بنسبة 20% في هجمات DDoS في الربع الثاني من عام 2024 مقارنة بالفترة نفسها من العام الماضي. ونجحت الشركة في تخفيف 8.5 مليون هجمة DDoS في النصف الأول من عام 2024 وحده. في حين انخفض العدد الإجمالي لهجمات DDoS في الربع الثاني بنسبة 11% مقارنة بالربع السابق، إلا أن الزيادة على أساس سنوي تظل مصدر قلق كبير.

تُعزى نصف هجمات HTTP DDoS خلال هذه الفترة إلى شبكات الروبوتات المعروفة لـ DDoS، مع ناقلات الهجوم الأخرى بما في ذلك وكلاء المستخدم المزيفين، والمتصفحات مقطوعة الرأس، وسمات HTTP المشبوهة، والفيضانات العامة. وكانت الدول الأكثر استهدافًا هي الصين وتركيا وسنغافورة، في حين كانت قطاعات تكنولوجيا المعلومات والخدمات والاتصالات والسلع الاستهلاكية هي الضحية الرئيسية.

وبرزت الأرجنتين كأكبر مصدر لهجمات DDoS في الربع الثاني من عام 2024، تليها إندونيسيا وهولندا. ويؤكد مشهد التهديدات المتطور هذا على الحاجة إلى اتخاذ تدابير أمنية قوية وحديثة للحماية من التطور المستمر والتكرار للهجمات السيبرانية.