PHP ievainojamības CVE-2024-4577 izmantošana izraisa lielas ļaunprātīgas programmatūras un DDoS uzbrukumus

Satraucošā attīstībā vairāki kiberdraudu dalībnieki ir aktīvi izmantojuši nesen atklāto PHP drošības ievainojamību, kas apzīmēta kā CVE-2024-4577 . Šis kritiskais trūkums ar CVSS punktu skaitu 9,8 ļauj uzbrucējiem attālināti izpildīt ļaunprātīgas komandas Windows sistēmās, kurās tiek izmantotas ķīniešu un japāņu valodas lokalizācijas. Ievainojamība, kas tika publiski atklāta 2024. gada jūnija sākumā, ir izraisījusi ievērojamu ļaunprātīgas programmatūras izplatīšanas un DDoS uzbrukumu pieaugumu.

Akamai pētnieki Kails Leftons, Alens Vests un Sems Tinklenbergs savā analīzē paskaidroja, ka CVE-2024-4577 ļauj uzbrucējiem apiet komandrindu un tieši interpretēt argumentus PHP, jo rodas problēmas ar Unicode konvertēšanu uz ASCII. Šo trūkumu ātri izmantoja uzbrucēji, par ko liecina Honeypot serveri, kas atklāj izmantošanas mēģinājumus 24 stundu laikā pēc ievainojamības atklāšanas.

Šie ļaunprātīgas izmantošanas mēģinājumi ietver dažādu ļaunprātīgu slodzes piegādi, piemēram, attālās piekļuves Trojas zirgu Gh0st RAT, kriptovalūtas ieguvējus, piemēram, RedTail un XMRig, un Muhstik DDoS robottīklu. Ir novēroti, ka uzbrucēji izmanto mīksto defises trūkumu, lai izpildītu wget pieprasījumu čaulas skriptam, kas pēc tam izgūst un instalē RedTail kriptoraktu ieguves ļaunprogrammatūru no Krievijā bāzētas IP adreses.

Vairojot bažas, Imperva pagājušajā mēnesī ziņoja, ka to pašu ievainojamību izmanto dalībnieki, kas izplata TellYouThePass izpirkuma programmatūras .NET variantu. Tas norāda uz to, cik plaši izmanto dažādas kibernoziedznieku grupas.

Organizācijām, kas izmanto PHP, ir ļoti ieteicams atjaunināt instalācijas uz jaunāko versiju, lai aizsargātu pret šiem aktīvajiem draudiem. Šīs ievainojamības straujā izmantošana uzsver, ka sarūkošo logu aizstāvjiem ir jārīkojas pēc jaunas ievainojamības atklāšanas.

Saistītajās ziņās Cloudflare ir ziņojis par DDoS uzbrukumu pieaugumu par 20% 2024. gada otrajā ceturksnī, salīdzinot ar to pašu periodu pagājušajā gadā. Uzņēmums 2024. gada pirmajā pusē vien samazināja 8,5 miljonus DDoS uzbrukumu. Lai gan kopējais DDoS uzbrukumu skaits otrajā ceturksnī ir samazinājies par 11%, salīdzinot ar iepriekšējo ceturksni, pieaugums salīdzinājumā ar iepriekšējo gadu joprojām ir nopietna problēma.

Puse no visiem HTTP DDoS uzbrukumiem šajā periodā tika attiecināti uz zināmiem DDoS robottīkliem ar citiem uzbrukuma vektoriem, tostarp viltotiem lietotāju aģentiem, pārlūkprogrammām bez galvas, aizdomīgiem HTTP atribūtiem un vispārīgiem plūdiem. Mērķa valstis bija Ķīna, Turcija un Singapūra, savukārt IT un pakalpojumu, telekomunikāciju un patēriņa preču nozares bija galvenie upuri.

Argentīna kļuva par lielāko DDoS uzbrukumu avotu 2024. gada otrajā ceturksnī, kam sekoja Indonēzija un Nīderlande. Šī mainīgā draudu ainava uzsver nepieciešamību pēc spēcīgiem un atjauninātiem drošības pasākumiem, lai nodrošinātu aizsardzību pret arvien pieaugošo kiberuzbrukumu sarežģītību un biežumu.