Eksploitasi Kerentanan PHP CVE-2024-4577 Menimbulkan Malware dan Serangan DDoS Utama

Dalam perkembangan yang membimbangkan, pelbagai pelaku ancaman siber telah secara aktif mengeksploitasi kerentanan keselamatan yang didedahkan baru-baru ini dalam PHP, yang ditetapkan sebagai CVE-2024-4577 . Kecacatan kritikal ini, dengan skor CVSS 9.8, membolehkan penyerang melaksanakan perintah berniat jahat dari jauh pada sistem Windows yang menggunakan tempatan bahasa Cina dan Jepun. Kerentanan, yang didedahkan secara terbuka pada awal Jun 2024, telah menyebabkan peningkatan ketara dalam pengedaran perisian hasad dan serangan DDoS.

Penyelidik Akamai Kyle Lefton, Allen West, dan Sam Tinklenberg menjelaskan dalam analisis mereka bahawa CVE-2024-4577 membenarkan penyerang memintas baris arahan dan secara langsung mentafsir hujah dalam PHP disebabkan isu penukaran Unicode-ke-ASCII. Kepincangan ini telah dieksploitasi dengan pantas oleh penyerang, seperti yang dibuktikan oleh pelayan honeypot yang mengesan percubaan eksploitasi dalam masa 24 jam selepas pendedahan awam kerentanan itu.

Percubaan eksploitasi ini termasuk penghantaran pelbagai muatan berniat jahat, seperti trojan akses jauh Gh0st RAT, pelombong mata wang kripto seperti RedTail dan XMRig, dan botnet Muhstik DDoS. Penyerang telah diperhatikan menggunakan kelemahan tanda sempang lembut untuk melaksanakan permintaan wget bagi skrip shell, yang kemudiannya mendapatkan dan memasang perisian hasad perlombongan kripto RedTail daripada alamat IP yang berpangkalan di Rusia.

Menambah kebimbangan, Imperva melaporkan bulan lepas bahawa kelemahan yang sama sedang dieksploitasi oleh pelakon yang mengedarkan varian .NET bagi perisian tebusan TellYouThePass . Ini menyerlahkan penggunaan meluas eksploitasi oleh pelbagai kumpulan penjenayah siber.

Organisasi yang menggunakan PHP amat dinasihatkan untuk mengemas kini pemasangan mereka kepada versi terkini untuk melindungi daripada ancaman aktif ini. Eksploitasi pesat kerentanan ini menggariskan pembela tingkap yang semakin mengecil perlu bertindak berikutan pendedahan kelemahan baharu.

Dalam berita berkaitan, Cloudflare telah melaporkan peningkatan 20% dalam serangan DDoS pada suku kedua 2024 berbanding tempoh yang sama tahun lepas. Syarikat itu mengurangkan 8.5 juta serangan DDoS pada separuh pertama 2024 sahaja. Walaupun jumlah keseluruhan serangan DDoS pada Q2 menurun sebanyak 11% daripada suku sebelumnya, peningkatan tahun ke tahun kekal sebagai kebimbangan yang ketara.

Separuh daripada semua serangan HTTP DDoS dalam tempoh ini dikaitkan dengan botnet DDoS yang diketahui, dengan vektor serangan lain termasuk ejen pengguna palsu, penyemak imbas tanpa kepala, atribut HTTP yang mencurigakan dan banjir generik. Negara yang paling disasarkan ialah China, Turki dan Singapura, manakala sektor IT dan perkhidmatan, telekom dan barangan pengguna menjadi mangsa utama.

Argentina muncul sebagai sumber terbesar serangan DDoS pada Q2 2024, diikuti oleh Indonesia dan Belanda. Landskap ancaman yang berkembang ini menekankan keperluan untuk langkah keselamatan yang teguh dan terkini untuk melindungi daripada kecanggihan dan kekerapan serangan siber yang semakin meningkat.