PHP pažeidžiamumo CVE-2024-4577 išnaudojimas sukelia didelių kenkėjiškų programų ir DDoS atakų

Per nerimą keliančius pokyčius keli kibernetinės grėsmės veikėjai aktyviai naudojasi neseniai atskleista PHP saugumo spraga, pavadinta CVE-2024-4577 . Šis kritinis trūkumas, kurio CVSS balas yra 9,8, leidžia užpuolikams nuotoliniu būdu vykdyti kenkėjiškas komandas Windows sistemose, kuriose naudojamos kinų ir japonų kalbos lokalės. Dėl pažeidžiamumo, viešai atskleisto 2024 m. birželio pradžioje, gerokai padaugėjo kenkėjiškų programų platinimo ir DDoS atakų.

Akamai tyrinėtojai Kyle'as Leftonas, Allenas Westas ir Samas Tinklenbergas savo analizėje paaiškino, kad CVE-2024-4577 leidžia užpuolikams apeiti komandų eilutę ir tiesiogiai interpretuoti PHP argumentus dėl problemų, susijusių su Unicode konvertavimu į ASCII. Šia klaida greitai pasinaudojo užpuolikai, kaip rodo „honeypot“ serveriai, aptikę išnaudojimo bandymus per 24 valandas nuo pažeidžiamumo viešo atskleidimo.

Šie išnaudojimo bandymai apima įvairių kenksmingų krovinių, tokių kaip Gh0st RAT nuotolinės prieigos Trojos arklys, kriptovaliutų kasėjai, pvz., RedTail ir XMRig, ir Muhstik DDoS botneto pristatymą. Pastebėta, kad užpuolikai naudoja minkšto brūkšnelio trūkumą, kad įvykdytų wget užklausą dėl apvalkalo scenarijaus, kuris vėliau nuskaito ir įdiegia RedTail kriptovaliutų kasimo kenkėjišką programą iš Rusijoje esančio IP adreso.

Susirūpinimą dar labiau padidino, kad Imperva praėjusį mėnesį pranešė, kad tą patį pažeidžiamumą naudoja aktoriai, platinantys TellYouThePass išpirkos reikalaujančios programinės įrangos .NET variantą. Tai rodo, kad įvairios kibernetinės nusikaltėlių grupės plačiai naudoja išnaudojimą.

Organizacijoms, naudojančioms PHP, primygtinai rekomenduojama atnaujinti savo įrenginius į naujausią versiją, kad apsisaugotų nuo šių aktyvių grėsmių. Greitas šio pažeidžiamumo išnaudojimas pabrėžia, kad mažėjantys langų gynėjai turi veikti po naujo pažeidžiamumo atskleidimo.

Susijusiose naujienose „Cloudflare“ pranešė, kad antrąjį 2024 m. ketvirtį DDoS atakų skaičius padidėjo 20%, palyginti su tuo pačiu praėjusių metų laikotarpiu. Vien per pirmąjį 2024 m. pusmetį bendrovė sumažino 8,5 mln. DDoS atakų. Nors bendras DDoS atakų skaičius antrąjį ketvirtį sumažėjo 11%, palyginti su ankstesniu ketvirčiu, metinis padidėjimas išlieka didelį susirūpinimą.

Pusė visų HTTP DDoS atakų per šį laikotarpį buvo priskirta žinomiems DDoS robotų tinklams, o kiti atakų vektoriai, įskaitant netikrus vartotojų agentus, naršykles be galvų, įtartinus HTTP atributus ir bendruosius potvynius. Labiausiai taikytos šalys buvo Kinija, Turkija ir Singapūras, o IT ir paslaugų, telekomunikacijų ir plataus vartojimo prekių sektoriai buvo pagrindinės aukos.

Argentina tapo didžiausiu DDoS atakų šaltiniu 2024 m. antrąjį ketvirtį, po jos rikiuojasi Indonezija ir Nyderlandai. Šis besivystantis grėsmių kraštovaizdis pabrėžia, kad reikia tvirtų ir naujausių saugumo priemonių, siekiant apsisaugoti nuo vis sudėtingėjančių ir vis dažnėjančių kibernetinių atakų.