بهره برداری از آسیب پذیری PHP CVE-2024-4577 باعث جرقه زدن بدافزارهای بزرگ و حملات DDoS می شود

در یک توسعه نگران‌کننده، چندین عامل تهدید سایبری به طور فعال از یک آسیب‌پذیری امنیتی که اخیراً فاش شده در PHP با نام CVE-2024-4577 استفاده می‌کنند. این نقص مهم، با امتیاز CVSS 9.8، به مهاجمان اجازه می دهد تا از راه دور دستورات مخرب را در سیستم های ویندوزی که از زبان های چینی و ژاپنی استفاده می کنند، اجرا کنند. این آسیب پذیری که در اوایل ژوئن 2024 به طور عمومی فاش شد، منجر به افزایش قابل توجهی در توزیع بدافزار و حملات DDoS شده است.

محققین Akamai، Kyle Lefton، Allen West و Sam Tinklenberg در تجزیه و تحلیل خود توضیح دادند که CVE-2024-4577 به مهاجمان اجازه می دهد تا خط فرمان را دور بزنند و به طور مستقیم آرگومان ها را در PHP به دلیل مشکلات تبدیل Unicode به ASCII تفسیر کنند. این نقص به سرعت توسط مهاجمان مورد سوء استفاده قرار گرفته است، همانطور که توسط سرورهای honeypot که تلاش‌های سوء استفاده را در عرض 24 ساعت پس از افشای عمومی آسیب‌پذیری شناسایی می‌کنند، نشان می‌دهد.

این تلاش‌های اکسپلویت شامل تحویل انواع بارهای مخرب مانند تروجان دسترسی از راه دور Gh0st RAT، استخراج‌کنندگان ارزهای دیجیتال مانند RedTail و XMRig و بات‌نت Muhstik DDoS است. مشاهده شده است که مهاجمان از یک نقص خط تیره نرم برای اجرای یک درخواست wget برای یک اسکریپت پوسته استفاده می کنند، که سپس بدافزار استخراج رمزنگاری RedTail را از یک آدرس IP مستقر در روسیه بازیابی و نصب می کند.

Imperva ماه گذشته گزارش داد که این آسیب‌پذیری توسط بازیگرانی که یک نوع دات‌نت از باج‌افزار TellYouThePass را توزیع می‌کنند، مورد سوء استفاده قرار می‌گیرد. این امر پذیرش گسترده این سوء استفاده توسط گروه های مختلف مجرم سایبری را برجسته می کند.

به سازمان هایی که از PHP استفاده می کنند اکیداً توصیه می شود برای محافظت در برابر این تهدیدات فعال، نصب های خود را به آخرین نسخه به روز کنند. بهره برداری سریع از این آسیب پذیری نشان می دهد که مدافعان پنجره در حال کوچک شدن باید پس از افشای آسیب پذیری جدید اقدام کنند.

در اخبار مرتبط، Cloudflare از افزایش 20 درصدی حملات DDoS در سه ماهه دوم سال 2024 نسبت به مدت مشابه سال گذشته خبر داده است. این شرکت تنها در نیمه اول سال 2024 8.5 میلیون حمله DDoS را کاهش داد. در حالی که تعداد کلی حملات DDoS در سه ماهه دوم 11 درصد نسبت به سه ماهه قبل کاهش یافته است، افزایش سال به سال همچنان یک نگرانی قابل توجه است.

نیمی از تمام حملات HTTP DDoS در این دوره به بات‌نت‌های DDoS شناخته شده نسبت داده می‌شود، با سایر بردارهای حمله از جمله عوامل کاربر جعلی، مرورگرهای بدون سر، ویژگی‌های HTTP مشکوک و سیل‌های عمومی. بیشترین کشورهای هدف چین، ترکیه و سنگاپور بودند، در حالی که بخش های فناوری اطلاعات و خدمات، مخابرات و کالاهای مصرفی قربانیان اصلی بودند.

آرژانتین به عنوان بزرگترین منبع حملات DDoS در سه ماهه دوم 2024 ظاهر شد و پس از آن اندونزی و هلند قرار گرفتند. این چشم انداز تهدید در حال تحول بر نیاز به اقدامات امنیتی قوی و به روز برای محافظت در برابر پیچیدگی و فراوانی حملات سایبری در حال رشد تاکید می کند.