PHP 취약점 CVE-2024-4577 악용으로 주요 악성 코드 및 DDoS 공격 촉발

문제가 되는 상황에서는 다수의 사이버 위협 행위자가 최근 공개된 PHP의 보안 취약점( CVE-2024-4577 )을 적극적으로 악용하고 있습니다. CVSS 점수가 9.8인 이 치명적인 결함을 통해 공격자는 중국어 및 일본어 로케일을 사용하는 Windows 시스템에서 악성 명령을 원격으로 실행할 수 있습니다. 2024년 6월 초에 공개된 이 취약점으로 인해 악성코드 배포 및 DDoS 공격이 크게 증가했습니다.

Akamai 연구원 Kyle Lefton, Allen West, Sam Tinklenberg는 분석에서 CVE-2024-4577을 통해 공격자가 유니코드-ASCII 변환 문제로 인해 명령줄을 우회하고 PHP의 인수를 직접 해석할 수 있다고 설명했습니다. 이 결함은 공격자들에 의해 신속하게 악용되었으며, 이는 취약점이 공개된 지 24시간 이내에 허니팟 서버가 악용 시도를 탐지한 사실에서 입증되었습니다.

이러한 악용 시도에는 Gh0st RAT 원격 액세스 트로이 목마, RedTail 및 XMRig와 같은 암호화폐 채굴기, Muhstik DDoS 봇넷과 같은 다양한 악성 페이로드 전달이 포함됩니다. 공격자들은 소프트 하이픈 결함을 사용하여 쉘 스크립트에 대한 wget 요청을 실행한 다음 러시아 기반 IP 주소에서 RedTail 암호화폐 채굴 악성코드를 검색하고 설치하는 것이 관찰되었습니다.

게다가 지난달 Imperva는 TellYouThePass 랜섬웨어 의 .NET 변종을 배포하는 공격자들이 동일한 취약점을 악용하고 있다고 보고했습니다. 이는 다양한 사이버 범죄 그룹이 이 공격을 광범위하게 채택하고 있음을 강조합니다.

PHP를 사용하는 조직은 이러한 활성 위협으로부터 보호하기 위해 설치를 최신 버전으로 업데이트하는 것이 좋습니다. 이 취약점의 급속한 악용은 방어자가 새로운 취약점 공개에 따라 조치를 취해야 하는 기간이 축소되었음을 강조합니다.

관련 뉴스에 따르면 클라우드플레어는 2024년 2분기 DDoS 공격이 지난해 같은 기간보다 20% 증가했다고 보고했다. 회사는 2024년 상반기에만 850만 건의 DDoS 공격을 완화했습니다. 2분기 전체 DDoS 공격 건수는 전 분기보다 11% 감소했지만, 전년 대비 증가율은 여전히 중요한 문제입니다.

이 기간 동안 모든 HTTP DDoS 공격의 절반은 알려진 DDoS 봇넷에 기인했으며, 가짜 사용자 에이전트, 헤드리스 브라우저, 의심스러운 HTTP 속성 및 일반 플러드를 포함한 다른 공격 벡터도 있었습니다. 가장 많이 표적이 된 국가는 중국, 터키, 싱가포르였으며 IT 및 서비스, 통신, 소비재 부문이 주요 피해자였습니다.

2024년 2분기에는 아르헨티나가 DDoS 공격의 가장 큰 발원지로 나타났으며 인도네시아와 네덜란드가 그 뒤를 이었습니다. 이렇게 진화하는 위협 환경은 점점 더 정교해지고 빈도가 높아지는 사이버 공격으로부터 보호하기 위한 강력한 최신 보안 조치의 필요성을 강조합니다.