PHP-haavoittuvuuden CVE-2024-4577 hyväksikäyttö aiheuttaa suuria haittaohjelmia ja DDoS-hyökkäyksiä

Huolestuttavassa kehityksessä useat kyberuhkien toimijat ovat käyttäneet aktiivisesti hyväkseen äskettäin paljastettua PHP:n tietoturvahaavoittuvuutta, joka on nimetty nimellä CVE-2024-4577 . Tämä kriittinen virhe, jonka CVSS-pistemäärä on 9,8, antaa hyökkääjille mahdollisuuden suorittaa haitallisia komentoja etänä Windows-järjestelmissä, jotka käyttävät kiinan ja japanin kielen kieliasetuksia. Kesäkuun alussa 2024 julkisesti julkistettu haavoittuvuus on johtanut haittaohjelmien leviämisen ja DDoS-hyökkäysten huomattavaan lisääntymiseen.

Akamai-tutkijat Kyle Lefton, Allen West ja Sam Tinklenberg selittivät analyysissaan, että CVE-2024-4577:n avulla hyökkääjät voivat ohittaa komentorivin ja tulkita suoraan PHP:n argumentteja Unicode-ASCII-muunnosongelmien vuoksi. Hyökkääjät ovat käyttäneet tätä virhettä nopeasti hyväkseen, mistä on osoituksena honeypot-palvelimet, jotka havaitsivat hyväksikäyttöyritykset 24 tunnin sisällä haavoittuvuuden julkistamisesta.

Näihin hyväksikäyttöyrityksiin kuuluu useiden haitallisten hyötykuormien toimittaminen, kuten Gh0st RAT -etäkäyttötroijalainen, kryptovaluuttakaivostyöntekijät, kuten RedTail ja XMRig, ja Muhstik DDoS -botnet. Hyökkääjien on havaittu käyttävän pehmeää yhdysmerkkivirhettä suorittaakseen wget-pyynnön shell-skriptille, joka sitten hakee ja asentaa RedTailin krypto-louhintahaittaohjelman Venäjä-pohjaisesta IP-osoitteesta.

Huolia lisäsi Imperva raportoi viime kuussa, että TellYouThePass-lunnasohjelman .NET-versiota jakavat toimijat käyttävät hyväkseen samaa haavoittuvuutta. Tämä korostaa erilaisten kyberrikollisryhmien laajaa omaksumista hyväksikäytöstä.

PHP:tä käyttäviä organisaatioita kehotetaan päivittämään asennuksensa uusimpaan versioon suojatakseen näitä aktiivisia uhkia vastaan. Tämän haavoittuvuuden nopea hyödyntäminen korostaa, että kutistuvien ikkunoiden puolustajien on toimittava uuden haavoittuvuuden paljastamisen jälkeen.

Aiheeseen liittyvissä uutisissa Cloudflare on raportoinut DDoS-hyökkäysten lisääntyneen 20 % vuoden 2024 toisella neljänneksellä verrattuna viime vuoden vastaavaan ajanjaksoon. Yritys hillitsi 8,5 miljoonaa DDoS-hyökkäystä pelkästään vuoden 2024 ensimmäisellä puoliskolla. Vaikka DDoS-hyökkäysten kokonaismäärä toisella vuosineljänneksellä laski 11 % edellisestä neljänneksestä, vuosittainen kasvu on edelleen merkittävä huolenaihe.

Puolet kaikista tämän ajanjakson HTTP DDoS -hyökkäyksistä johtui tunnetuista DDoS-bottiverkoista, ja muita hyökkäysvektoreita, kuten väärennettyjä käyttäjäagentteja, päättömät selaimet, epäilyttävät HTTP-attribuutit ja yleiset tulvat. Eniten kohdemaita olivat Kiina, Turkki ja Singapore, kun taas IT- ja palvelut-, televiestintä- ja kulutustavarasektorit olivat ensisijaisesti uhreja.

Argentiina nousi suurimmaksi DDoS-hyökkäysten lähteeksi vuoden 2024 toisella neljänneksellä, ja sitä seuraavat Indonesia ja Alankomaat. Tämä kehittyvä uhkakuva korostaa vankkojen ja ajantasaisten turvatoimien tarvetta suojautua jatkuvasti kasvavalta kyberhyökkäysten kehittymiseltä ja tiheydeltä.