Эксплуатация уязвимости PHP CVE-2024-4577 приводит к крупным вредоносным программам и DDoS-атакам

Вызывает тревогу то, что несколько субъектов киберугроз активно используют недавно обнаруженную уязвимость безопасности в PHP, обозначенную как CVE-2024-4577 . Этот критический недостаток с оценкой CVSS 9,8 позволяет злоумышленникам удаленно выполнять вредоносные команды в системах Windows, использующих китайские и японские языковые стандарты. Уязвимость, публично раскрытая в начале июня 2024 года, привела к значительному увеличению распространения вредоносного ПО и DDoS-атак.

Исследователи Akamai Кайл Лефтон, Аллен Уэст и Сэм Тинкленберг объяснили в своем анализе, что CVE-2024-4577 позволяет злоумышленникам обходить командную строку и напрямую интерпретировать аргументы в PHP из-за проблем с преобразованием Unicode в ASCII. Злоумышленники быстро воспользовались этой уязвимостью, о чем свидетельствуют серверы-приманки, обнаруживающие попытки эксплойта в течение 24 часов после публичного раскрытия уязвимости.

Эти попытки эксплойта включают доставку различных вредоносных полезных данных, таких как троян удаленного доступа Gh0st RAT, майнеры криптовалюты, такие как RedTail и XMRig, а также ботнет Muhstik DDoS. Было замечено, что злоумышленники использовали уязвимость мягкого дефиса для выполнения запроса wget для сценария оболочки, который затем извлекает и устанавливает вредоносное ПО RedTail для майнинга криптовалют с российского IP-адреса.

Вдобавок к беспокойству, в прошлом месяце компания Imperva сообщила, что той же уязвимостью пользуются злоумышленники, распространяющие .NET-вариант программы-вымогателя TellYouThePass . Это подчеркивает широкое распространение этого эксплойта различными группировками киберпреступников.

Организациям, использующим PHP, настоятельно рекомендуется обновить свои установки до последней версии, чтобы защититься от этих активных угроз. Быстрое использование этой уязвимости подчеркивает, что защитникам окон приходится действовать после обнаружения новой уязвимости.

В связанных новостях Cloudflare сообщила об увеличении количества DDoS-атак на 20% во втором квартале 2024 года по сравнению с аналогичным периодом прошлого года. Только за первую половину 2024 года компания смягчила 8,5 миллионов DDoS-атак. Хотя общее количество DDoS-атак во втором квартале снизилось на 11% по сравнению с предыдущим кварталом, годовой рост остается серьезной проблемой.

Половина всех HTTP-DDoS-атак за этот период была связана с известными DDoS-ботнетами, а также с другими векторами атак, включая поддельные пользовательские агенты, автономные браузеры, подозрительные атрибуты HTTP и обычные флуды. Наиболее пострадавшими странами стали Китай, Турция и Сингапур, а основными жертвами стали секторы информационных технологий и услуг, телекоммуникаций и потребительских товаров.

Аргентина стала крупнейшим источником DDoS-атак во втором квартале 2024 года, за ней следуют Индонезия и Нидерланды. Этот меняющийся ландшафт угроз подчеркивает необходимость надежных и современных мер безопасности для защиты от постоянно растущей сложности и частоты кибератак.