Izkoriščanje ranljivosti PHP CVE-2024-4577 sproži večje napade zlonamerne programske opreme in DDoS

V zaskrbljujočem razvoju je več akterjev kibernetske grožnje aktivno izkoriščalo nedavno razkrito varnostno ranljivost v PHP, označeno kot CVE-2024-4577 . Ta kritična napaka z oceno CVSS 9,8 omogoča napadalcem, da na daljavo izvajajo zlonamerne ukaze v sistemih Windows, ki uporabljajo jezikovne nastavitve kitajskega in japonskega jezika. Ranljivost, ki je bila javno razkrita v začetku junija 2024, je povzročila znatno povečanje distribucije zlonamerne programske opreme in napadov DDoS.

Raziskovalci Akamai Kyle Lefton, Allen West in Sam Tinklenberg so v svoji analizi pojasnili, da CVE-2024-4577 omogoča napadalcem, da obidejo ukazno vrstico in neposredno interpretirajo argumente v PHP zaradi težav s pretvorbo Unicode v ASCII. Napadalci so to napako hitro izkoristili, kar dokazujejo strežniki honeypot, ki zaznajo poskuse izkoriščanja v 24 urah po javnem razkritju ranljivosti.

Ti poskusi izkoriščanja vključujejo dostavo različnih zlonamernih obremenitev, kot so trojanski konj za oddaljeni dostop Gh0st RAT, rudarji kriptovalut, kot sta RedTail in XMRig, in botnet Muhstik DDoS. Opazili so, da napadalci uporabljajo napako mehkega vezaja za izvedbo zahteve wget za lupinski skript, ki nato pridobi in namesti zlonamerno programsko opremo RedTail za kripto rudarjenje z naslova IP v Rusiji.

Dodatno zaskrbljenost je Imperva prejšnji mesec poročala, da isto ranljivost izkoriščajo akterji, ki distribuirajo različico .NET izsiljevalske programske opreme TellYouThePass . To poudarja široko sprejetje izkoriščanja s strani različnih skupin kibernetskega kriminala.

Organizacijam, ki uporabljajo PHP, močno priporočamo, da posodobijo svoje namestitve na najnovejšo različico za zaščito pred temi aktivnimi grožnjami. Hitro izkoriščanje te ranljivosti poudarja, da morajo zagovorniki oken ukrepati po novem razkritju ranljivosti.

V povezanih novicah je Cloudflare poročal o 20-odstotnem povečanju napadov DDoS v drugem četrtletju 2024 v primerjavi z enakim obdobjem lani. Podjetje je samo v prvi polovici leta 2024 ublažilo 8,5 milijona napadov DDoS. Medtem ko se je skupno število napadov DDoS v drugem četrtletju zmanjšalo za 11 % glede na prejšnje četrtletje, je medletno povečanje še vedno precej zaskrbljujoče.

Polovica vseh napadov HTTP DDoS v tem obdobju je bila pripisana znanim botnetom DDoS, z drugimi vektorji napadov, vključno z lažnimi uporabniškimi agenti, brezglavimi brskalniki, sumljivimi atributi HTTP in generičnimi poplavami. Najbolj tarčne države so bile Kitajska, Turčija in Singapur, medtem ko so bile glavne žrtve IT in sektorji storitev, telekomunikacij in potrošniškega blaga.

Argentina se je v drugem četrtletju 2024 izkazala za največji vir napadov DDoS, sledita ji Indonezija in Nizozemska. To razvijajoče se okolje groženj poudarja potrebo po robustnih in posodobljenih varnostnih ukrepih za zaščito pred vedno večjo sofisticiranostjo in pogostnostjo kibernetskih napadov.