Udnyttelse af PHP-sårbarhed CVE-2024-4577 udløser større malware- og DDoS-angreb
I en bekymrende udvikling har flere cybertrusselsaktører aktivt udnyttet en nyligt afsløret sikkerhedssårbarhed i PHP, betegnet som CVE-2024-4577 . Denne kritiske fejl, med en CVSS-score på 9,8, gør det muligt for angribere at eksternt udføre ondsindede kommandoer på Windows-systemer, der bruger kinesisk og japansk sprog. Sårbarheden, der blev offentliggjort i begyndelsen af juni 2024, har ført til en betydelig stigning i malwaredistribution og DDoS-angreb.
Akamai-forskerne Kyle Lefton, Allen West og Sam Tinklenberg forklarede i deres analyse, at CVE-2024-4577 tillader angribere at omgå kommandolinjen og direkte fortolke argumenter i PHP på grund af problemer med Unicode-til-ASCII-konvertering. Denne fejl er hurtigt blevet udnyttet af angribere, hvilket fremgår af honeypot-servere, der opdager udnyttelsesforsøg inden for 24 timer efter sårbarhedens offentliggørelse.
Disse udnyttelsesforsøg omfatter levering af en række ondsindede nyttelaster, såsom Gh0st RAT-fjernadgangstrojaneren, cryptocurrency-minearbejdere som RedTail og XMRig og Muhstik DDoS-botnet. Angribere er blevet observeret ved at bruge en blød bindestreg-fejl til at udføre en wget-anmodning om et shell-script, som derefter henter og installerer RedTail-krypto-mining-malwaren fra en Rusland-baseret IP-adresse.
For at tilføje bekymringen rapporterede Imperva i sidste måned, at den samme sårbarhed bliver udnyttet af aktører, der distribuerer en .NET-variant af TellYouThePass ransomware . Dette fremhæver den brede anvendelse af udnyttelsen af forskellige cyberkriminelle grupper.
Organisationer, der bruger PHP, anbefales kraftigt at opdatere deres installationer til den nyeste version for at beskytte mod disse aktive trusler. Den hurtige udnyttelse af denne sårbarhed understreger de krympende vinduesforsvarere er nødt til at handle efter en ny afsløring af sårbarhed.
I relaterede nyheder har Cloudflare rapporteret en stigning på 20 % i DDoS-angreb i andet kvartal af 2024 sammenlignet med samme periode sidste år. Virksomheden afbød 8,5 millioner DDoS-angreb alene i første halvdel af 2024. Mens det samlede antal DDoS-angreb i 2. kvartal faldt med 11 % i forhold til det foregående kvartal, er stigningen fra år til år fortsat en betydelig bekymring.
Halvdelen af alle HTTP DDoS-angreb i denne periode blev tilskrevet kendte DDoS-botnets, med andre angrebsvektorer, herunder falske brugeragenter, hovedløse browsere, mistænkelige HTTP-attributter og generiske oversvømmelser. De mest målrettede lande var Kina, Tyrkiet og Singapore, mens IT- og servicesektoren, telekommunikation og forbrugsgoder var de primære ofre.
Argentina viste sig som den største kilde til DDoS-angreb i 2. kvartal 2024, efterfulgt af Indonesien og Holland. Dette udviklende trusselslandskab understreger behovet for robuste og opdaterede sikkerhedsforanstaltninger for at beskytte mod den stadigt voksende sofistikering og hyppighed af cyberangreb.