A CVE-2024-4577 PHP sebezhetőség kihasználása jelentős kártevő- és DDoS-támadásokat vált ki

Egy aggasztó fejlemény során a kiberfenyegetések számos szereplője aktívan kihasználta a PHP nemrégiben nyilvánosságra hozott biztonsági rését, a CVE-2024-4577 néven. Ez a kritikus hiba 9,8-as CVSS-pontszámmal lehetővé teszi a támadók számára, hogy rosszindulatú parancsokat távolról hajtsanak végre a kínai és japán nyelvi területi beállításokat használó Windows rendszereken. A 2024 júniusának elején nyilvánosságra hozott sebezhetőség a rosszindulatú programok terjesztésének és a DDoS támadások jelentős növekedéséhez vezetett.

Az Akamai kutatói, Kyle Lefton, Allen West és Sam Tinklenberg elemzésükben kifejtették, hogy a CVE-2024-4577 lehetővé teszi a támadók számára, hogy megkerüljék a parancssort, és közvetlenül értelmezzék az argumentumokat a PHP-ben az Unicode-ASCII konvertálási problémák miatt. Ezt a hibát a támadók gyorsan kihasználták, amit az is bizonyít, hogy a honeypot szerverek a sebezhetőség nyilvánosságra hozatalától számított 24 órán belül észlelték a kihasználási kísérleteket.

Ezek a kizsákmányolási kísérletek számos rosszindulatú rakomány kézbesítését foglalják magukban, mint például a Gh0st RAT távoli hozzáférésű trójai, kriptovaluta bányászok, mint a RedTail és az XMRig, valamint a Muhstik DDoS botnet. Megfigyelték, hogy a támadók lágy kötőjel hibával hajtottak végre wget kérést egy shell-szkriptre, amely aztán lekéri és telepíti a RedTail kriptobányász kártevőt egy oroszországi IP-címről.

Az aggodalomra ad okot, hogy az Imperva a múlt hónapban arról számolt be, hogy ugyanazt a sebezhetőséget használják ki a TellYouThePass zsarolóprogram .NET változatát terjesztő szereplők. Ez rávilágít arra, hogy a kizsákmányolást a különféle kiberbűnözői csoportok széles körben alkalmazzák.

A PHP-t használó szervezeteknek erősen javasoljuk, hogy frissítsék telepítéseiket a legújabb verzióra az aktív fenyegetések elleni védelem érdekében. A sérülékenység gyors kihasználása rávilágít arra, hogy a szűkülő ablakvédőknek cselekedniük kell egy új sérülékenység feltárását követően.

A kapcsolódó hírekben a Cloudflare a DDoS támadások 20%-os növekedéséről számolt be 2024 második negyedévében az előző év azonos időszakához képest. A vállalat csak 2024 első felében 8,5 millió DDoS-támadást mérsékelte. Míg a DDoS támadások száma a második negyedévben 11%-kal csökkent az előző negyedévhez képest, az éves növekedés továbbra is jelentős aggodalomra ad okot.

Ebben az időszakban az összes HTTP DDoS támadás fele ismert DDoS botneteknek tulajdonítható, más támadási vektorokkal, köztük hamis felhasználói ügynökökkel, fej nélküli böngészőkkel, gyanús HTTP-attribútumokkal és általános áradásokkal. A leginkább megcélzott országok Kína, Törökország és Szingapúr voltak, míg az IT és a szolgáltatások, a távközlés és a fogyasztási cikkek szektora volt az elsődleges áldozat.

Argentína vált a DDoS-támadások legnagyobb forrásává 2024 második negyedévében, ezt követi Indonézia és Hollandia. Ez a fejlődő fenyegetettség rávilágít arra, hogy robusztus és naprakész biztonsági intézkedésekre van szükség az egyre növekvő kifinomultság és a kibertámadások gyakorisága elleni védelem érdekében.