Computer Security Iskorištavanje PHP ranjivosti CVE-2024-4577 izaziva...

Iskorištavanje PHP ranjivosti CVE-2024-4577 izaziva velike malware i DDoS napade

U zabrinjavajućem razvoju događaja, više aktera cyber prijetnji aktivno iskorištava nedavno otkrivenu sigurnosnu ranjivost u PHP-u, označenu kao CVE-2024-4577 . Ova kritična greška, s ocjenom CVSS od 9,8, omogućuje napadačima daljinsko izvršavanje zlonamjernih naredbi na Windows sustavima koji koriste lokalne postavke kineskog i japanskog jezika. Ranjivost, javno objavljena početkom lipnja 2024., dovela je do značajnog porasta distribucije zlonamjernog softvera i DDoS napada.

Akamai istraživači Kyle Lefton, Allen West i Sam Tinklenberg objasnili su u svojoj analizi da CVE-2024-4577 omogućuje napadačima da zaobiđu naredbeni redak i izravno interpretiraju argumente u PHP-u zbog problema s konverzijom Unicode-a u ASCII. Ovaj nedostatak brzo su iskoristili napadači, što je dokazano honeypot poslužiteljima koji su otkrili pokušaje iskorištavanja unutar 24 sata od javnog otkrivanja ranjivosti.

Ovi pokušaji iskorištavanja uključuju isporuku raznih zlonamjernih korisnih opterećenja, kao što je Gh0st RAT trojanac za daljinski pristup, rudari kriptovaluta kao što su RedTail i XMRig i Muhstik DDoS botnet. Primijećeno je da napadači koriste grešku meke crtice za izvršavanje wget zahtjeva za skriptu ljuske, koja zatim dohvaća i instalira zlonamjerni softver RedTail za kripto rudarenje s ruske IP adrese.

Dodajući zabrinutost, Imperva je prošli mjesec izvijestila da istu ranjivost iskorištavaju akteri koji distribuiraju .NET varijantu ransomwarea TellYouThePass . Ovo naglašava široko prihvaćanje iskorištavanja od strane raznih skupina kibernetičkog kriminala.

Organizacijama koje koriste PHP toplo se savjetuje da ažuriraju svoje instalacije na najnoviju verziju kako bi se zaštitile od ovih aktivnih prijetnji. Brzo iskorištavanje ove ranjivosti naglašava smanjenje broja zaštitnika prozora koji moraju djelovati nakon otkrivanja nove ranjivosti.

U povezanim vijestima, Cloudflare je izvijestio o porastu DDoS napada od 20% u drugom kvartalu 2024. u usporedbi s istim razdobljem prošle godine. Tvrtka je ublažila 8,5 milijuna DDoS napada samo u prvoj polovici 2024. Dok se ukupni broj DDoS napada u drugom tromjesečju smanjio za 11% u odnosu na prethodni kvartal, porast u odnosu na prethodnu godinu ostaje značajan razlog za zabrinutost.

Polovica svih HTTP DDoS napada tijekom ovog razdoblja pripisana je poznatim DDoS botnet mrežama, s drugim vektorima napada uključujući lažne korisničke agente, bezglave preglednike, sumnjive HTTP atribute i generičke poplave. Najviše ciljanih zemalja bile su Kina, Turska i Singapur, dok su IT i sektori usluga, telekomunikacija i robe široke potrošnje bili primarne žrtve.

Argentina se pojavila kao najveći izvor DDoS napada u drugom kvartalu 2024., a slijede je Indonezija i Nizozemska. Ovaj evoluirajući krajolik prijetnji naglašava potrebu za robusnim i ažuriranim sigurnosnim mjerama za zaštitu od sve veće sofisticiranosti i učestalosti kibernetičkih napada.


Učitavam...