Utnyttelse av PHP-sårbarhet CVE-2024-4577 gir store skadelige programmer og DDoS-angrep
I en urovekkende utvikling har flere aktører av nettrussel aktivt utnyttet en nylig avslørt sikkerhetssårbarhet i PHP, utpekt som CVE-2024-4577 . Denne kritiske feilen, med en CVSS-score på 9,8, lar angripere eksternt utføre ondsinnede kommandoer på Windows-systemer som bruker kinesisk og japansk språk. Sårbarheten, som ble offentliggjort tidlig i juni 2024, har ført til en betydelig økning i distribusjon av skadelig programvare og DDoS-angrep.
Akamai-forskerne Kyle Lefton, Allen West og Sam Tinklenberg forklarte i sin analyse at CVE-2024-4577 lar angripere omgå kommandolinjen og direkte tolke argumenter i PHP på grunn av problemer med Unicode-til-ASCII-konvertering. Denne feilen har raskt blitt utnyttet av angripere, noe som fremgår av honeypot-servere som oppdager utnyttelsesforsøk innen 24 timer etter at sårbarheten ble offentliggjort.
Disse utnyttelsesforsøkene inkluderer levering av en rekke ondsinnede nyttelaster, slik som Gh0st RAT-trojaneren for fjerntilgang, kryptovalutagruvearbeidere som RedTail og XMRig, og Muhstik DDoS-botnettet. Angripere har blitt observert ved å bruke en myk bindestrekfeil for å utføre en wget-forespørsel for et shell-skript, som deretter henter og installerer RedTail-kryptogruve-malware fra en Russland-basert IP-adresse.
For å øke bekymringen rapporterte Imperva forrige måned at den samme sårbarheten blir utnyttet av aktører som distribuerer en .NET-variant av TellYouThePass løsepengevare . Dette fremhever den brede bruken av utnyttelsen av ulike nettkriminelle grupper.
Organisasjoner som bruker PHP anbefales på det sterkeste å oppdatere installasjonene sine til den nyeste versjonen for å beskytte mot disse aktive truslene. Den raske utnyttelsen av denne sårbarheten understreker de krympende vinduets forsvarere må handle etter en ny sårbarhetsavsløring.
I relaterte nyheter har Cloudflare rapportert en 20 % økning i DDoS-angrep i andre kvartal 2024 sammenlignet med samme periode i fjor. Selskapet dempet 8,5 millioner DDoS-angrep bare i første halvdel av 2024. Mens det totale antallet DDoS-angrep i Q2 gikk ned med 11 % fra forrige kvartal, er økningen fra år til år fortsatt en betydelig bekymring.
Halvparten av alle HTTP DDoS-angrep i denne perioden ble tilskrevet kjente DDoS-botnett, med andre angrepsvektorer inkludert falske brukeragenter, hodeløse nettlesere, mistenkelige HTTP-attributter og generiske oversvømmelser. De mest målrettede landene var Kina, Tyrkia og Singapore, mens sektorene IT og tjenester, telekom og forbruksvarer var de primære ofrene.
Argentina dukket opp som den største kilden til DDoS-angrep i Q2 2024, fulgt av Indonesia og Nederland. Dette utviklende trussellandskapet understreker behovet for robuste og oppdaterte sikkerhetstiltak for å beskytte mot den stadig voksende sofistikeringen og hyppigheten av nettangrep.