L'explotació de la vulnerabilitat PHP CVE-2024-4577 provoca atacs importants de programari maliciós i DDoS
En un desenvolupament preocupant, diversos actors de les amenaces cibernètiques han estat explotant activament una vulnerabilitat de seguretat revelada recentment en PHP, designada com a CVE-2024-4577 . Aquest defecte crític, amb una puntuació CVSS de 9,8, permet als atacants executar de forma remota ordres malicioses en sistemes Windows que utilitzen localitzacions en xinès i japonès. La vulnerabilitat, divulgada públicament a principis de juny de 2024, ha provocat un augment significatiu de la distribució de programari maliciós i dels atacs DDoS.
Els investigadors d'Akamai Kyle Lefton, Allen West i Sam Tinklenberg van explicar en la seva anàlisi que CVE-2024-4577 permet als atacants obviar la línia d'ordres i interpretar directament els arguments en PHP a causa de problemes amb la conversió d'Unicode a ASCII. Aquest defecte ha estat explotat ràpidament pels atacants, com ho demostren els servidors honeypot que detecten intents d'explotació en les 24 hores posteriors a la divulgació pública de la vulnerabilitat.
Aquests intents d'explotació inclouen el lliurament de diverses càrregues útils malicioses, com ara el troià d'accés remot Gh0st RAT, els miners de criptomoneda com RedTail i XMRig i la botnet Muhstik DDoS. S'ha observat que els atacants utilitzen un defecte de guionet suau per executar una sol·licitud wget per a un script d'intèrpret d'ordres, que després recupera i instal·la el programari maliciós de criptomineria RedTail des d'una adreça IP basada a Rússia.
A més de la preocupació, Imperva va informar el mes passat que la mateixa vulnerabilitat està sent explotada pels actors que distribueixen una variant .NET del ransomware TellYouThePass . Això posa de manifest l'àmplia adopció de l'explotació per part de diversos grups cibercriminals.
Es recomana a les organitzacions que utilitzen PHP que actualitzin les seves instal·lacions a la versió més recent per protegir-se d'aquestes amenaces actives. L'explotació ràpida d'aquesta vulnerabilitat posa de manifest que els defensors de finestres han d'actuar després d'una nova divulgació de vulnerabilitats.
En notícies relacionades, Cloudflare ha informat d'un augment del 20% dels atacs DDoS el segon trimestre del 2024 en comparació amb el mateix període de l'any passat. La companyia va mitigar 8,5 milions d'atacs DDoS només durant el primer semestre del 2024. Tot i que el nombre total d'atacs DDoS al segon trimestre va disminuir un 11% respecte al trimestre anterior, l'augment interanual continua sent una preocupació important.
La meitat de tots els atacs HTTP DDoS durant aquest període es van atribuir a botnets DDoS conegudes, amb altres vectors d'atac inclosos agents d'usuari falsos, navegadors sense cap, atributs HTTP sospitosos i inundacions genèriques. Els països més objectiu van ser la Xina, Turquia i Singapur, mentre que els sectors informàtics i serveis, telecomunicacions i béns de consum van ser les principals víctimes.
L'Argentina va emergir com la principal font d'atacs DDoS el segon trimestre del 2024, seguida d'Indonèsia i els Països Baixos. Aquest panorama d'amenaces en evolució posa de manifest la necessitat de mesures de seguretat sòlides i actualitzades per protegir-se de la sofisticació i la freqüència creixents dels ciberatacs.