Exploatarea vulnerabilității PHP CVE-2024-4577 provoacă atacuri majore de malware și DDoS
Într-o dezvoltare tulburătoare, mai mulți actori ai amenințărilor cibernetice au exploatat în mod activ o vulnerabilitate de securitate recent dezvăluită în PHP, denumită CVE-2024-4577 . Această defecțiune critică, cu un scor CVSS de 9,8, permite atacatorilor să execute de la distanță comenzi rău intenționate pe sistemele Windows care utilizează localități în limba chineză și japoneză. Vulnerabilitatea, dezvăluită public la începutul lunii iunie 2024, a condus la o creștere semnificativă a distribuției de malware și a atacurilor DDoS.
Cercetătorii Akamai Kyle Lefton, Allen West și Sam Tinklenberg au explicat în analiza lor că CVE-2024-4577 permite atacatorilor să ocolească linia de comandă și să interpreteze direct argumentele în PHP din cauza problemelor legate de conversia Unicode-la-ASCII. Această defecțiune a fost exploatată rapid de atacatori, așa cum demonstrează serverele honeypot care detectează încercări de exploatare în 24 de ore de la dezvăluirea publică a vulnerabilității.
Aceste încercări de exploatare includ livrarea unei varietăți de încărcături utile rău intenționate, cum ar fi troianul de acces la distanță Gh0st RAT, mineri de criptomonede precum RedTail și XMRig și botnet-ul Muhstik DDoS. Atacatorii au fost observați folosind o cratimă moale pentru a executa o solicitare wget pentru un script shell, care apoi preia și instalează malware-ul RedTail cripto-mining de la o adresă IP din Rusia.
Adăugând la îngrijorare, Imperva a raportat luna trecută că aceeași vulnerabilitate este exploatată de actorii care distribuie o variantă .NET a ransomware-ului TellYouThePass . Acest lucru evidențiază adoptarea pe scară largă a exploatării de către diferite grupuri infracționale cibernetice.
Organizațiile care folosesc PHP sunt sfătuite să-și actualizeze instalările la cea mai recentă versiune pentru a se proteja împotriva acestor amenințări active. Exploatarea rapidă a acestei vulnerabilități subliniază faptul că apărătorii ferestrelor în scădere trebuie să acționeze în urma unei noi dezvăluiri de vulnerabilități.
În știrile conexe, Cloudflare a raportat o creștere cu 20% a atacurilor DDoS în al doilea trimestru al anului 2024, comparativ cu aceeași perioadă a anului trecut. Compania a atenuat 8,5 milioane de atacuri DDoS doar în prima jumătate a anului 2024. În timp ce numărul total de atacuri DDoS în T2 a scăzut cu 11% față de trimestrul precedent, creșterea de la an la an rămâne o preocupare semnificativă.
Jumătate din toate atacurile HTTP DDoS din această perioadă au fost atribuite rețelelor botnet DDoS cunoscute, cu alți vectori de atac, inclusiv agenți de utilizator falși, browsere fără cap, atribute HTTP suspecte și inundații generice. Cele mai vizate țări au fost China, Turcia și Singapore, în timp ce sectoarele IT și servicii, telecomunicații și bunuri de larg consum au fost principalele victime.
Argentina a devenit cea mai mare sursă de atacuri DDoS în T2 2024, urmată de Indonezia și Țările de Jos. Acest peisaj de amenințări în evoluție subliniază necesitatea unor măsuri de securitate robuste și actualizate pentru a proteja împotriva sofisticarii și frecvenței tot mai mari a atacurilor cibernetice.