Využití zranitelnosti PHP CVE-2024-4577 podněcuje velké útoky malwaru a DDoS

V rámci znepokojivého vývoje několik aktérů kybernetických hrozeb aktivně využívá nedávno odhalenou bezpečnostní zranitelnost v PHP, označenou jako CVE-2024-4577 . Tato kritická chyba s CVSS skóre 9,8 umožňuje útočníkům vzdáleně provádět škodlivé příkazy v systémech Windows, které používají čínské a japonské jazykové lokality. Zranitelnost, která byla veřejně odhalena na začátku června 2024, vedla k výraznému nárůstu distribuce malwaru a DDoS útoků.

Výzkumníci z Akamai Kyle Lefton, Allen West a Sam Tinklenberg ve své analýze vysvětlili, že CVE-2024-4577 umožňuje útočníkům obejít příkazový řádek a přímo interpretovat argumenty v PHP kvůli problémům s převodem Unicode na ASCII. Tato chyba byla rychle zneužita útočníky, jak dokazují servery honeypot, které detekovaly pokusy o zneužití do 24 hodin od zveřejnění zranitelnosti.

Tyto pokusy o zneužití zahrnují doručování různých škodlivých dat, jako je trojan pro vzdálený přístup Gh0st RAT, těžaři kryptoměn jako RedTail a XMRig a botnet Muhstik DDoS. Útočníci byli pozorováni, jak používají slabou pomlčku k provedení požadavku wget na skript shellu, který pak načte a nainstaluje malware pro těžbu kryptoměn z ruské IP adresy.

Kromě toho Imperva minulý měsíc oznámil, že stejnou zranitelnost zneužívají herci distribuující .NET variantu ransomwaru TellYouThePass . To zdůrazňuje široké přijetí exploitu různými skupinami kyberzločinců.

Organizacím používajícím PHP důrazně doporučujeme aktualizovat své instalace na nejnovější verzi, aby se tak chránily před těmito aktivními hrozbami. Rychlé využití této zranitelnosti podtrhuje, že zmenšující se obránci oken musí jednat po odhalení nové zranitelnosti.

V souvisejících zprávách Cloudflare ohlásil 20% nárůst DDoS útoků ve druhém čtvrtletí roku 2024 ve srovnání se stejným obdobím loňského roku. Jen v první polovině roku 2024 společnost zmírnila 8,5 milionu DDoS útoků. Zatímco celkový počet DDoS útoků ve 2. čtvrtletí klesl o 11 % oproti předchozímu čtvrtletí, meziroční nárůst zůstává významným problémem.

Polovina všech HTTP DDoS útoků během tohoto období byla připsána známým DDoS botnetům, další vektory útoků zahrnovaly falešné uživatelské agenty, bezhlavé prohlížeče, podezřelé HTTP atributy a generické záplavy. Nejvíce cílenými zeměmi byly Čína, Turecko a Singapur, zatímco hlavními oběťmi byly sektory IT a služeb, telekomunikací a spotřebního zboží.

Ve 2. čtvrtletí 2024 se jako největší zdroj DDoS útoků objevila Argentina, následovaná Indonésií a Nizozemskem. Toto vyvíjející se prostředí hrozeb podtrhuje potřebu robustních a aktuálních bezpečnostních opatření k ochraně proti stále rostoucí sofistikovanosti a četnosti kybernetických útoků.