Η εκμετάλλευση της ευπάθειας PHP CVE-2024-4577 προκαλεί σημαντικές επιθέσεις κακόβουλου λογισμικού και DDoS

Σε μια προβληματική εξέλιξη, πολλοί φορείς απειλών στον κυβερνοχώρο εκμεταλλεύονται ενεργά μια ευπάθεια ασφαλείας που αποκαλύφθηκε πρόσφατα στην PHP, που ονομάστηκε CVE-2024-4577 . Αυτό το κρίσιμο ελάττωμα, με βαθμολογία CVSS 9,8, επιτρέπει στους εισβολείς να εκτελούν εξ αποστάσεως κακόβουλες εντολές σε συστήματα Windows που χρησιμοποιούν τοπικές ρυθμίσεις της κινεζικής και της ιαπωνικής γλώσσας. Η ευπάθεια, που αποκαλύφθηκε δημόσια στις αρχές Ιουνίου 2024, οδήγησε σε σημαντική αύξηση της διανομής κακόβουλου λογισμικού και των επιθέσεων DDoS.

Οι ερευνητές του Akamai, Kyle Lefton, Allen West και Sam Tinklenberg εξήγησαν στην ανάλυσή τους ότι το CVE-2024-4577 επιτρέπει στους εισβολείς να παρακάμψουν τη γραμμή εντολών και να ερμηνεύσουν απευθείας ορίσματα στην PHP λόγω προβλημάτων με τη μετατροπή Unicode-σε-ASCII. Αυτό το ελάττωμα αξιοποιήθηκε γρήγορα από εισβολείς, όπως αποδεικνύεται από τους διακομιστές honeypot που εντοπίζουν προσπάθειες εκμετάλλευσης εντός 24 ωρών από τη δημόσια αποκάλυψη της ευπάθειας.

Αυτές οι προσπάθειες εκμετάλλευσης περιλαμβάνουν την παράδοση μιας ποικιλίας κακόβουλων ωφέλιμων φορτίων, όπως ο trojan απομακρυσμένης πρόσβασης Gh0st RAT, οι εξορύκτες κρυπτονομισμάτων όπως το RedTail και το XMRig και το botnet Muhstik DDoS. Οι επιτιθέμενοι έχουν παρατηρηθεί χρησιμοποιώντας ένα ελάττωμα soft παύλας για να εκτελέσουν ένα αίτημα wget για ένα σενάριο κελύφους, το οποίο στη συνέχεια ανακτά και εγκαθιστά το κακόβουλο λογισμικό εξόρυξης κρυπτογράφησης RedTail από μια διεύθυνση IP με έδρα τη Ρωσία.

Επιπρόσθετα στην ανησυχία, η Imperva ανέφερε τον περασμένο μήνα ότι το ίδιο θέμα ευπάθειας εκμεταλλεύονται ηθοποιοί που διανέμουν μια παραλλαγή .NET του ransomware TellYouThePass . Αυτό υπογραμμίζει την ευρεία υιοθέτηση της εκμετάλλευσης από διάφορες ομάδες εγκληματιών στον κυβερνοχώρο.

Συνιστάται στους οργανισμούς που χρησιμοποιούν PHP να ενημερώνουν τις εγκαταστάσεις τους στην πιο πρόσφατη έκδοση για να προστατεύονται από αυτές τις ενεργές απειλές. Η ταχεία εκμετάλλευση αυτής της ευπάθειας υπογραμμίζει τη συρρίκνωση των υπερασπιστών παραθύρων πρέπει να δράσουν μετά από μια νέα αποκάλυψη ευπάθειας.

Σε σχετικές ειδήσεις, το Cloudflare ανέφερε αύξηση 20% στις επιθέσεις DDoS το δεύτερο τρίμηνο του 2024 σε σύγκριση με την ίδια περίοδο πέρυσι. Η εταιρεία μετριάστηκε 8,5 εκατομμύρια επιθέσεις DDoS μόνο το πρώτο εξάμηνο του 2024. Ενώ ο συνολικός αριθμός επιθέσεων DDoS το δεύτερο τρίμηνο μειώθηκε κατά 11% σε σχέση με το προηγούμενο τρίμηνο, η αύξηση από έτος σε έτος παραμένει σημαντική ανησυχία.

Οι μισές από όλες τις επιθέσεις HTTP DDoS κατά τη διάρκεια αυτής της περιόδου αποδίδονταν σε γνωστά botnet DDoS, με άλλους φορείς επιθέσεων, όπως ψεύτικους πράκτορες χρήστη, προγράμματα περιήγησης χωρίς κεφάλι, ύποπτα χαρακτηριστικά HTTP και γενικές πλημμύρες. Οι πιο στοχευμένες χώρες ήταν η Κίνα, η Τουρκία και η Σιγκαπούρη, ενώ οι τομείς της πληροφορικής και των υπηρεσιών, των τηλεπικοινωνιών και των καταναλωτικών αγαθών ήταν τα κύρια θύματα.

Η Αργεντινή αναδείχθηκε ως η μεγαλύτερη πηγή επιθέσεων DDoS το δεύτερο τρίμηνο του 2024, ακολουθούμενη από την Ινδονησία και την Ολλανδία. Αυτό το εξελισσόμενο τοπίο απειλών υπογραμμίζει την ανάγκη για ισχυρά και ενημερωμένα μέτρα ασφαλείας για προστασία από τη διαρκώς αυξανόμενη πολυπλοκότητα και τη συχνότητα των κυβερνοεπιθέσεων.