Exploitatie van PHP-kwetsbaarheid CVE-2024-4577 leidt tot grote malware- en DDoS-aanvallen

In een verontrustende ontwikkeling hebben meerdere cyberbedreigingsactoren actief misbruik gemaakt van een onlangs onthuld beveiligingsprobleem in PHP, genaamd CVE-2024-4577 . Deze kritieke fout, met een CVSS-score van 9,8, stelt aanvallers in staat om op afstand kwaadaardige opdrachten uit te voeren op Windows-systemen die Chinese en Japanse taalinstellingen gebruiken. De kwetsbaarheid, die begin juni 2024 openbaar werd gemaakt, heeft geleid tot een aanzienlijke toename van de verspreiding van malware en DDoS-aanvallen.

Akamai-onderzoekers Kyle Lefton, Allen West en Sam Tinklenberg legden in hun analyse uit dat CVE-2024-4577 aanvallers in staat stelt de opdrachtregel te omzeilen en argumenten in PHP direct te interpreteren vanwege problemen met de conversie van Unicode naar ASCII. Deze fout is snel uitgebuit door aanvallers, zoals blijkt uit honeypot-servers die binnen 24 uur na de publieke bekendmaking van de kwetsbaarheid exploitpogingen detecteren.

Deze exploitpogingen omvatten de levering van een verscheidenheid aan kwaadaardige ladingen, zoals de Gh0st RAT trojan voor externe toegang, cryptocurrency-miners zoals RedTail en XMRig, en het Muhstik DDoS-botnet. Er is waargenomen dat aanvallers een zachte koppeltekenfout gebruikten om een wget-verzoek voor een shellscript uit te voeren, dat vervolgens de cryptomining-malware RedTail ophaalt en installeert vanaf een in Rusland gevestigd IP-adres.

Wat de bezorgdheid nog groter maakt, meldde Imperva vorige maand dat dezelfde kwetsbaarheid wordt uitgebuit door actoren die een .NET-variant van de TellYouThePass-ransomware verspreiden. Dit onderstreept de brede acceptatie van de exploit door verschillende cybercriminele groepen.

Organisaties die PHP gebruiken, wordt ten zeerste aangeraden hun installaties bij te werken naar de nieuwste versie om zich tegen deze actieve bedreigingen te beschermen. De snelle uitbuiting van deze kwetsbaarheid onderstreept de steeds kleiner wordende window-defences die actie moeten ondernemen na de onthulling van een nieuwe kwetsbaarheid.

In gerelateerd nieuws meldt Cloudflare een toename van 20% in DDoS-aanvallen in het tweede kwartaal van 2024 vergeleken met dezelfde periode vorig jaar. Alleen al in de eerste helft van 2024 wist het bedrijf 8,5 miljoen DDoS-aanvallen af te weren. Hoewel het totale aantal DDoS-aanvallen in het tweede kwartaal met 11% daalde ten opzichte van het voorgaande kwartaal, blijft de stijging op jaarbasis een grote zorg.

De helft van alle HTTP DDoS-aanvallen in deze periode werd toegeschreven aan bekende DDoS-botnets, terwijl andere aanvalsvectoren onder meer nep-user-agents, headless browsers, verdachte HTTP-attributen en generieke floods waren. De meest getroffen landen waren China, Turkije en Singapore, terwijl de sectoren IT en diensten, telecom en consumptiegoederen de voornaamste slachtoffers waren.

Argentinië kwam in het tweede kwartaal van 2024 naar voren als de grootste bron van DDoS-aanvallen, gevolgd door Indonesië en Nederland. Dit evoluerende dreigingslandschap onderstreept de noodzaak van robuuste en actuele beveiligingsmaatregelen als bescherming tegen de steeds toenemende verfijning en frequentie van cyberaanvallen.