A Exploração da Vulnerabilidade PHP CVE-2024-4577 Desencadeia Grandes Ataques de Malware e DDoS
Num evento preocupante, vários autores de ameaças cibernéticas têm explorado ativamente uma vulnerabilidade de segurança recentemente divulgada em PHP, designada como CVE-2024-4577. Essa falha crítica, com pontuação CVSS de 9,8, permite que invasores executem comandos maliciosos remotamente em sistemas Windows que usam localidades nos idiomas chinês e japonês. A vulnerabilidade, divulgada publicamente no início de junho de 2024, levou a um aumento significativo na distribuição de malware e ataques de DDoS.
Os pesquisadores da Akamai Kyle Lefton, Allen West e Sam Tinklenberg explicaram em sua análise que o CVE-2024-4577 permite que invasores ignorem a linha de comando e interpretem diretamente argumentos em PHP devido a problemas com a conversão de Unicode para ASCII. Esta falha foi rapidamente explorada pelos atacantes, como evidenciado pelos servidores honeypot que detectaram tentativas de exploração dentro de 24 horas após a divulgação pública da vulnerabilidade.
Essas tentativas de exploração incluem a entrega de uma variedade de cargas maliciosas, como o trojan de acesso remoto Gh0st RAT, mineradores de criptomoedas como RedTail e XMRig e o botnet Muhstik DDoS. Foram observados invasores usando uma falha de hífen suave para executar uma solicitação wget para um script de shell, que então recupera e instala o malware de mineração de criptografia RedTail a partir de um endereço IP baseado na Rússia.
Para aumentar a preocupação, a Imperva informou no mês passado que a mesma vulnerabilidade está sendo explorada por atores que distribuem uma variante .NET do TellYouThePass Ransomware. Isto destaca a ampla adoção da exploração por vários grupos cibercriminosos.
As organizações que usam PHP são fortemente aconselhadas a atualizar suas instalações para a versão mais recente para se protegerem contra essas ameaças ativas. A rápida exploração desta vulnerabilidade ressalta a janela cada vez menor que os defensores precisam agir após a divulgação de uma nova vulnerabilidade.
Em notícias relacionadas, a Cloudflare relatou um aumento de 20% nos ataques de DDoS no segundo trimestre de 2024 em comparação com o mesmo período do ano passado. A empresa mitigou 8,5 milhões de ataques de DDoS somente no primeiro semestre de 2024. Embora o número geral de ataques de DDoS no segundo trimestre tenha diminuído 11% em relação ao trimestre anterior, o aumento ano após ano continua a ser uma preocupação significativa.
Metade de todos os ataques de HTTP DDoS durante este período foram atribuídos a botnets de DDoS conhecidos, com outros vetores de ataque incluindo agentes de usuário falsos, navegadores headless, atributos HTTP suspeitos e inundações genéricas. Os países mais visados foram a China, a Turquia e Singapura, enquanto os setores de TI e serviços, telecomunicações e bens de consumo foram as principais vítimas.
A Argentina emergiu como a maior fonte de ataques de DDoS no segundo trimestre de 2024, seguida pela Indonésia e pela Holanda. Este cenário de ameaças em evolução sublinha a necessidade de medidas de segurança robustas e atualizadas para proteger contra a sofisticação e frequência cada vez maiores dos ataques cibernéticos.