Lo sfruttamento della vulnerabilità PHP CVE-2024-4577 scatena gravi attacchi malware e DDoS

In uno sviluppo preoccupante, diversi autori di minacce informatiche hanno sfruttato attivamente una vulnerabilità di sicurezza recentemente rivelata in PHP, designata come CVE-2024-4577 . Questo difetto critico, con un punteggio CVSS di 9,8, consente agli aggressori di eseguire in remoto comandi dannosi su sistemi Windows che utilizzano impostazioni locali in lingua cinese e giapponese. La vulnerabilità, resa pubblica all’inizio di giugno 2024, ha portato a un aumento significativo della distribuzione di malware e degli attacchi DDoS.

I ricercatori Akamai Kyle Lefton, Allen West e Sam Tinklenberg hanno spiegato nella loro analisi che CVE-2024-4577 consente agli aggressori di bypassare la riga di comando e interpretare direttamente gli argomenti in PHP a causa di problemi con la conversione da Unicode ad ASCII. Questa falla è stata rapidamente sfruttata dagli aggressori, come evidenziato dai server honeypot che rilevano i tentativi di exploit entro 24 ore dalla divulgazione pubblica della vulnerabilità.

Questi tentativi di exploit includono la distribuzione di una varietà di payload dannosi, come il trojan di accesso remoto Gh0st RAT, minatori di criptovaluta come RedTail e XMRig e la botnet DDoS Muhstik. È stato osservato che gli aggressori utilizzano un soft hyphen per eseguire una richiesta wget per uno script di shell, che poi recupera e installa il malware di cripto-mining RedTail da un indirizzo IP con sede in Russia.

In aggiunta alla preoccupazione, Imperva ha riferito il mese scorso che la stessa vulnerabilità viene sfruttata da attori che distribuiscono una variante .NET del ransomware TellYouThePass . Ciò evidenzia l’ampia adozione dell’exploit da parte di vari gruppi criminali informatici.

Si consiglia vivamente alle organizzazioni che utilizzano PHP di aggiornare le proprie installazioni alla versione più recente per proteggersi da queste minacce attive. Il rapido sfruttamento di questa vulnerabilità sottolinea la riduzione della finestra di azione che i difensori devono agire in seguito alla divulgazione di una nuova vulnerabilità.

Nelle notizie correlate, Cloudflare ha riportato un aumento del 20% degli attacchi DDoS nel secondo trimestre del 2024 rispetto allo stesso periodo dell’anno scorso. L’azienda ha mitigato 8,5 milioni di attacchi DDoS solo nella prima metà del 2024. Sebbene il numero complessivo di attacchi DDoS nel secondo trimestre sia diminuito dell’11% rispetto al trimestre precedente, l’aumento anno su anno continua a destare notevole preoccupazione.

La metà di tutti gli attacchi DDoS HTTP durante questo periodo sono stati attribuiti a botnet DDoS note, insieme ad altri vettori di attacco tra cui user agent falsi, browser headless, attributi HTTP sospetti e inondazioni generiche. I paesi più colpiti sono stati Cina, Turchia e Singapore, mentre le principali vittime sono stati i settori IT e servizi, telecomunicazioni e beni di consumo.

L’Argentina è emersa come la principale fonte di attacchi DDoS nel secondo trimestre del 2024, seguita da Indonesia e Paesi Bassi. Questo panorama delle minacce in evoluzione sottolinea la necessità di misure di sicurezza solide e aggiornate per salvaguardare dalla sempre crescente sofisticatezza e frequenza degli attacchi informatici.