Експлоатация на уязвимостта на PHP CVE-2024-4577 предизвиква големи злонамерени и DDoS атаки

В тревожно развитие множество участници в кибернетични заплахи активно експлоатираха наскоро разкрита уязвимост на сигурността в PHP, обозначена като CVE-2024-4577 . Този критичен недостатък, с CVSS резултат от 9,8, позволява на атакуващите да изпълняват дистанционно злонамерени команди на Windows системи, които използват локали на китайски и японски език. Уязвимостта, публично разкрита в началото на юни 2024 г., доведе до значително увеличение на разпространението на зловреден софтуер и DDoS атаките.

Изследователите на Akamai Кайл Лефтън, Алън Уест и Сам Тинкленберг обясниха в своя анализ, че CVE-2024-4577 позволява на атакуващите да заобикалят командния ред и директно да интерпретират аргументи в PHP поради проблеми с преобразуването от Unicode към ASCII. Този пропуск беше бързо използван от нападателите, както се вижда от honeypot сървърите, откриващи опити за експлойт в рамките на 24 часа след публичното разкриване на уязвимостта.

Тези опити за експлойт включват доставянето на различни злонамерени полезни товари, като троянския кон за отдалечен достъп Gh0st RAT, копачи на криптовалута като RedTail и XMRig и ботнет Muhstik DDoS. Забелязано е, че нападателите използват дефект с меко тире, за да изпълнят wget заявка за скрипт на обвивка, който след това извлича и инсталира зловредния софтуер за крипто копаене RedTail от базиран в Русия IP адрес.

В допълнение към безпокойството, Imperva съобщи миналия месец, че същата уязвимост се използва от участници, разпространяващи .NET вариант на рансъмуера TellYouThePass . Това подчертава широкото приемане на експлойта от различни киберпрестъпни групи.

Организациите, използващи PHP, силно се съветват да актуализират своите инсталации до най-новата версия, за да се защитят от тези активни заплахи. Бързото използване на тази уязвимост подчертава, че намаляващите защитници на прозореца трябва да действат след разкриване на нова уязвимост.

В свързани новини Cloudflare отчете 20% увеличение на DDoS атаките през второто тримесечие на 2024 г. в сравнение със същия период на миналата година. Компанията смекчи 8,5 милиона DDoS атаки само през първата половина на 2024 г. Въпреки че общият брой на DDoS атаките през второто тримесечие намаля с 11% спрямо предходното тримесечие, увеличението на годишна база остава значително безпокойство.

Половината от всички HTTP DDoS атаки през този период се приписват на известни DDoS ботнети, с други вектори на атака, включително фалшиви потребителски агенти, браузъри без глава, подозрителни HTTP атрибути и общи наводнения. Най-насочените страни бяха Китай, Турция и Сингапур, докато секторите на информационните технологии и услугите, телекомуникациите и потребителските стоки бяха основните жертви.

Аржентина се очертава като най-големият източник на DDoS атаки през второто тримесечие на 2024 г., следвана от Индонезия и Холандия. Тази развиваща се среда на заплахи подчертава необходимостта от стабилни и актуални мерки за сигурност за защита срещу непрекъснато нарастващата сложност и честота на кибератаките.