Využitie zraniteľnosti PHP CVE-2024-4577 vyvoláva veľké útoky škodlivého softvéru a DDoS

V znepokojujúcom vývoji viacerí aktéri kybernetických hrozieb aktívne využívajú nedávno odhalenú bezpečnostnú chybu v PHP, označenú ako CVE-2024-4577 . Táto kritická chyba so skóre CVSS 9,8 umožňuje útočníkom na diaľku vykonávať škodlivé príkazy v systémoch Windows, ktoré používajú čínske a japonské miestne nastavenia. Zraniteľnosť, ktorá bola zverejnená začiatkom júna 2024, viedla k výraznému nárastu distribúcie malvéru a DDoS útokov.

Výskumníci z Akamai Kyle Lefton, Allen West a Sam Tinklenberg vo svojej analýze vysvetlili, že CVE-2024-4577 umožňuje útočníkom obísť príkazový riadok a priamo interpretovať argumenty v PHP kvôli problémom s konverziou Unicode na ASCII. Útočníci túto chybu rýchlo zneužili, o čom svedčia servery honeypot, ktoré zachytili pokusy o zneužitie do 24 hodín od zverejnenia zraniteľnosti.

Tieto pokusy o zneužitie zahŕňajú dodanie rôznych škodlivých dát, ako je trójsky kôň Gh0st RAT pre vzdialený prístup, ťažiari kryptomien ako RedTail a XMRig a botnet Muhstik DDoS. Útočníci boli spozorovaní, že používajú chybu mäkkej pomlčky na vykonanie požiadavky wget na skript shellu, ktorý potom načíta a nainštaluje malvér na ťažbu kryptomien RedTail z adresy IP so sídlom v Rusku.

Okrem toho, Imperva minulý mesiac oznámil, že rovnakú zraniteľnosť zneužívajú aktéri distribuujúci .NET variant ransomvéru TellYouThePass . To poukazuje na široké prijatie exploitu rôznymi skupinami kyberzločincov.

Organizáciám, ktoré používajú PHP, sa dôrazne odporúča aktualizovať svoje inštalácie na najnovšiu verziu na ochranu pred týmito aktívnymi hrozbami. Rýchle využitie tejto zraniteľnosti podčiarkuje, že zmenšujúci sa obrancovia musia konať po odhalení novej zraniteľnosti.

V súvisiacich správach Cloudflare ohlásil 20% nárast DDoS útokov v druhom štvrťroku 2024 v porovnaní s rovnakým obdobím minulého roka. Spoločnosť len v prvej polovici roku 2024 zmiernila 8,5 milióna DDoS útokov. Zatiaľ čo celkový počet DDoS útokov v druhom štvrťroku klesol o 11 % v porovnaní s predchádzajúcim štvrťrokom, medziročný nárast zostáva veľkým problémom.

Polovica všetkých útokov HTTP DDoS počas tohto obdobia bola pripísaná známym botnetom DDoS, pričom ďalšie vektory útokov zahŕňali falošných používateľských agentov, bezhlavé prehliadače, podozrivé atribúty HTTP a všeobecné záplavy. Najviac cieľovými krajinami boli Čína, Turecko a Singapur, pričom hlavnými obeťami boli sektory IT a služieb, telekomunikácií a spotrebného tovaru.

Argentína sa ukázala ako najväčší zdroj DDoS útokov v Q2 2024, nasledovaná Indonéziou a Holandskom. Toto vyvíjajúce sa prostredie hrozieb podčiarkuje potrebu robustných a aktuálnych bezpečnostných opatrení na ochranu pred neustále rastúcou sofistikovanosťou a frekvenciou kybernetických útokov.