Wykorzystanie luki w zabezpieczeniach PHP CVE-2024-4577 wywołuje poważne ataki złośliwego oprogramowania i DDoS

W ramach niepokojącego rozwoju wielu cyberprzestępców aktywnie wykorzystuje niedawno ujawnioną lukę w zabezpieczeniach PHP, oznaczoną jako CVE-2024-4577 . Ta krytyczna luka, z wynikiem CVSS wynoszącym 9,8, umożliwia atakującym zdalne wykonywanie złośliwych poleceń w systemach Windows korzystających z ustawień regionalnych w języku chińskim i japońskim. Luka, ujawniona publicznie na początku czerwca 2024 r., doprowadziła do znacznego wzrostu dystrybucji złośliwego oprogramowania i ataków DDoS.

Badacze z Akamai, Kyle Lefton, Allen West i Sam Tinklenberg, wyjaśnili w swojej analizie, że CVE-2024-4577 umożliwia atakującym ominięcie wiersza poleceń i bezpośrednią interpretację argumentów w PHP ze względu na problemy z konwersją Unicode na ASCII. Luka ta została szybko wykorzystana przez osoby atakujące, czego dowodem są serwery typu Honeypot wykrywające próby wykorzystania luki w ciągu 24 godzin od publicznego ujawnienia luki.

Te próby exploitów obejmują dostarczanie różnych szkodliwych ładunków, takich jak trojan zdalnego dostępu Gh0st RAT, koparki kryptowalut, takie jak RedTail i XMRig, oraz botnet Muhstik DDoS. Zaobserwowano, że atakujący używali luki w myślniku miękkim w celu wykonania żądania wget dotyczącego skryptu powłoki, który następnie pobierał i instalował złośliwe oprogramowanie RedTail do wydobywania kryptowalut z rosyjskiego adresu IP.

Co więcej, w zeszłym miesiącu Imperva poinformowała, że tę samą lukę wykorzystują podmioty dystrybuujące odmianę .NET oprogramowania ransomware TellYouThePass . Podkreśla to szerokie zastosowanie tego exploita przez różne grupy cyberprzestępcze.

Organizacjom korzystającym z PHP zdecydowanie zaleca się aktualizację swoich instalacji do najnowszej wersji w celu ochrony przed aktywnymi zagrożeniami. Szybkie wykorzystanie tej luki podkreśla, że po ujawnieniu nowej luki w zabezpieczeniach kurcząca się liczba obrońców okien musi działać.

W powiązanych wiadomościach Cloudflare odnotowało 20% wzrost liczby ataków DDoS w drugim kwartale 2024 r. w porównaniu z tym samym okresem ubiegłego roku. Tylko w pierwszej połowie 2024 roku firma ograniczyła 8,5 miliona ataków DDoS. Chociaż ogólna liczba ataków DDoS w drugim kwartale spadła o 11% w porównaniu z poprzednim kwartałem, poważnym problemem pozostaje wzrost rok do roku.

Połowę wszystkich ataków HTTP DDoS w tym okresie przypisano znanym botnetom DDoS, a inne wektory ataków obejmowały fałszywe programy użytkownika, przeglądarki bezgłowe, podejrzane atrybuty HTTP i ogólne powodzie. Krajami najczęściej atakowanymi były Chiny, Turcja i Singapur, a głównymi ofiarami były sektory IT i usług, telekomunikacji i dóbr konsumpcyjnych.

Największym źródłem ataków DDoS w drugim kwartale 2024 r. okazała się Argentyna, a za nią plasowały się Indonezja i Holandia. Ten ewoluujący krajobraz zagrożeń podkreśla potrzebę stosowania solidnych i aktualnych środków bezpieczeństwa w celu ochrony przed stale rosnącym wyrafinowaniem i częstotliwością cyberataków.