PHP haavatavuse CVE-2024-4577 ärakasutamine tekitab suuremaid pahavara ja DDoS rünnakuid

Murettekitavas arengus on mitmed küberohuga tegelejad aktiivselt ära kasutanud hiljuti avalikustatud PHP turvaauku, mille nimi on CVE-2024-4577 . See kriitiline viga, mille CVSS-i skoor on 9,8, võimaldab ründajatel kaugkäivitada pahatahtlikke käske Windowsi süsteemides, mis kasutavad hiina ja jaapani keele lokaate. 2024. aasta juuni alguses avalikustatud haavatavus on toonud kaasa pahavara levitamise ja DDoS-i rünnakute märkimisväärse kasvu.

Akamai teadlased Kyle Lefton, Allen West ja Sam Tinklenberg selgitasid oma analüüsis, et CVE-2024-4577 võimaldab ründajatel Unicode-asCII-ks teisendamise probleemide tõttu käsurealt mööda minna ja PHP-s argumente otse tõlgendada. Ründajad on seda viga kiiresti ära kasutanud, mida tõendavad meepoti serverid, mis tuvastasid ärakasutamiskatsed 24 tunni jooksul pärast haavatavuse avalikustamist.

Need ärakasutamiskatsed hõlmavad mitmesuguste pahatahtlike kasulike koormuste edastamist, nagu Gh0st RAT kaugjuurdepääsu troojalane, krüptoraha kaevandajad nagu RedTail ja XMRig ning Muhstik DDoS botnet. On täheldatud, et ründajad kasutavad pehme sidekriipsu viga, et täita wget-i päringut shelliskripti jaoks, mis seejärel toodab ja installib RedTaili krüptokaevandamise pahavara Venemaal asuvalt IP-aadressilt.

Mure suurendas see, et Imperva teatas eelmisel kuul, et sama haavatavust kasutavad ära TellYouThePassi lunavara .NET-i varianti levitavad osalejad. See rõhutab ärakasutamise laialdast omaksvõttu erinevate küberkurjategijate rühmituste poolt.

PHP-d kasutavatel organisatsioonidel soovitatakse tungivalt värskendada oma installid uusimale versioonile, et kaitsta nende aktiivsete ohtude eest. Selle haavatavuse kiire ärakasutamine rõhutab, et kahanevate akende kaitsjad peavad pärast uue haavatavuse avalikustamist tegutsema.

Seotud uudistes on Cloudflare teatanud DDoS-rünnakute 20% suurenemisest 2024. aasta teises kvartalis võrreldes eelmise aasta sama perioodiga. Ettevõte leevendas ainuüksi 2024. aasta esimesel poolel 8,5 miljonit DDoS-rünnakut. Kuigi DDoS-i rünnakute üldarv teises kvartalis vähenes eelmise kvartaliga võrreldes 11%, on aastane kasv endiselt oluline probleem.

Pool kõikidest HTTP DDoS-i rünnetest sel perioodil omistati teadaolevatele DDoS-i robotvõrkudele ja muudele rünnakuvektoritele, sealhulgas võltsitud kasutajaagendid, peata brauserid, kahtlased HTTP-atribuudid ja üldised üleujutused. Enim sihitud riigid olid Hiina, Türgi ja Singapur, samas kui peamised ohvrid olid IT- ja teenuste-, telekommunikatsiooni- ja tarbekaupade sektorid.

2024. aasta teises kvartalis tõusis suurimaks DDoS-rünnakute allikaks Argentina, millele järgnesid Indoneesia ja Holland. See arenev ohumaastik rõhutab vajadust tugevate ja ajakohaste turvameetmete järele, et kaitsta end küberrünnakute järjest kasvava keerukuse ja sageduse eest.