ניצול פגיעות PHP CVE-2024-4577 מעורר התקפות זדוניות ו-DDoS עיקריות

בפיתוח מטריד, מספר רב של גורמי איומי סייבר ניצלו באופן פעיל פגיעות אבטחה שנחשפה לאחרונה ב-PHP, המכונה CVE-2024-4577 . פגם קריטי זה, עם ציון CVSS של 9.8, מאפשר לתוקפים לבצע מרחוק פקודות זדוניות במערכות Windows המשתמשות בשפה הסינית והיפנית. הפגיעות, שנחשפה בפומבי בתחילת יוני 2024, הובילה לעלייה משמעותית בהפצת תוכנות זדוניות והתקפות DDoS.

חוקרי אקמאי קייל לפטון, אלן ווסט וסם טינקנברג הסבירו בניתוח שלהם ש-CVE-2024-4577 מאפשר לתוקפים לעקוף את שורת הפקודה ולפרש ישירות טיעונים ב-PHP עקב בעיות בהמרה של Unicode-to-ASCII. פגם זה נוצל במהירות על ידי תוקפים, כפי שמעידים שרתי Honeypot שמזהים ניסיונות ניצול תוך 24 שעות מרגע החשיפה הפומבית של הפגיעות.

ניסיונות ניצול אלה כוללים משלוח של מגוון מטענים זדוניים, כגון הטרויאני Gh0st RAT לגישה מרחוק, כורי מטבעות קריפטוגרפיים כמו RedTail ו-XMRig, ורשת הבוטים Muhstik DDoS. תוקפים נצפו כשהם משתמשים בפגם במקף רך כדי לבצע בקשת wget עבור סקריפט מעטפת, אשר לאחר מכן מאחזר ומתקין את התוכנה הזדונית של כריית ההצפנה RedTail מכתובת IP מבוססת רוסיה.

בנוסף לדאגה, Imperva דיווחה בחודש שעבר שאותה פגיעות מנוצלת על ידי שחקנים שמפיצים גרסת .NET של תוכנת הכופר TellYouThePass . זה מדגיש את האימוץ הרחב של הניצול על ידי קבוצות פושעי סייבר שונות.

מומלץ מאוד לארגונים המשתמשים ב-PHP לעדכן את ההתקנות שלהם לגרסה העדכנית ביותר כדי להגן מפני איומים פעילים אלו. הניצול המהיר של פגיעות זו מדגיש את מגני החלונות המתכווצים שצריכים לפעול בעקבות חשיפת פגיעות חדשה.

בחדשות קשורות, Cloudflare דיווחה על עלייה של 20% בהתקפות DDoS ברבעון השני של 2024 בהשוואה לתקופה המקבילה אשתקד. החברה פחתה 8.5 מיליון התקפות DDoS במחצית הראשונה של 2024 לבדה. בעוד שהמספר הכולל של מתקפות DDoS ברבעון השני ירד ב-11% מהרבעון הקודם, העלייה משנה לשנה נותרה דאגה משמעותית.

מחצית מכל התקפות HTTP DDoS במהלך תקופה זו יוחסו לרשתות בוטנט DDoS ידועות, כאשר וקטורי תקיפה אחרים כוללים סוכני משתמש מזויפים, דפדפנים חסרי ראש, תכונות HTTP חשודות והצפות גנריות. המדינות הממוקדות ביותר היו סין, טורקיה וסינגפור, בעוד שתחום ה-IT והשירותים, הטלקום ומוצרי הצריכה היו הקורבנות העיקריים.

ארגנטינה התגלתה כמקור הגדול ביותר להתקפות DDoS ברבעון השני של 2024, ואחריה אינדונזיה והולנד. נוף האיומים המתפתח הזה מדגיש את הצורך באמצעי אבטחה חזקים ועדכניים כדי להגן מפני התחכום והתדירות ההולכת וגוברת של מתקפות סייבר.