Shfrytëzimi i cenueshmërisë së PHP-së CVE-2024-4577 shkakton sulme të mëdha malware dhe DDoS
Në një zhvillim shqetësues, aktorë të shumtë të kërcënimeve kibernetike kanë shfrytëzuar në mënyrë aktive një cenueshmëri sigurie të zbuluar së fundmi në PHP, të përcaktuar si CVE-2024-4577 . Kjo e metë kritike, me një rezultat CVSS prej 9.8, i lejon sulmuesit të ekzekutojnë në distancë komandat me qëllim të keq në sistemet Windows që përdorin gjuhët lokale në gjuhën kineze dhe japoneze. Dobësia, e zbuluar publikisht në fillim të qershorit 2024, ka çuar në një rritje të konsiderueshme të shpërndarjes së malware dhe sulmeve DDoS.
Studiuesit e Akamai, Kyle Lefton, Allen West dhe Sam Tinklenberg shpjeguan në analizën e tyre se CVE-2024-4577 lejon sulmuesit të anashkalojnë linjën e komandës dhe të interpretojnë drejtpërdrejt argumentet në PHP për shkak të problemeve me konvertimin Unicode-në-ASCII. Kjo e metë është shfrytëzuar me shpejtësi nga sulmuesit, siç dëshmohet nga serverët honeypot që zbulojnë përpjekjet për shfrytëzim brenda 24 orëve nga zbulimi publik i cenueshmërisë.
Këto përpjekje për shfrytëzim përfshijnë shpërndarjen e një sërë ngarkesash me qëllim të keq, të tilla si trojani i aksesit në distancë Gh0st RAT, minatorët e kriptomonedhave si RedTail dhe XMRig dhe botneti Muhstik DDoS. Sulmuesit janë vërejtur duke përdorur një defekt me vizë të butë për të ekzekutuar një kërkesë wget për një skript shell, i cili më pas merr dhe instalon malware-in e kripto-minierave RedTail nga një adresë IP me bazë në Rusi.
Duke shtuar shqetësimin, Imperva raportoi muajin e kaluar se e njëjta dobësi po shfrytëzohet nga aktorët që shpërndajnë një variant .NET të ransomware-it TellYouThePass . Kjo nënvizon miratimin e gjerë të shfrytëzimit nga grupe të ndryshme kriminale kibernetike.
Organizatat që përdorin PHP këshillohen fuqimisht që të përditësojnë instalimet e tyre në versionin më të fundit për t'u mbrojtur nga këto kërcënime aktive. Shfrytëzimi i shpejtë i kësaj dobësie nënvizon që mbrojtësit e dritareve në tkurrje duhet të veprojnë pas një zbulimi të ri të cenueshmërisë.
Në lajmet përkatëse, Cloudflare ka raportuar një rritje prej 20% të sulmeve DDoS në tremujorin e dytë të 2024 krahasuar me të njëjtën periudhë të vitit të kaluar. Kompania zbuti 8.5 milionë sulme DDoS vetëm në gjysmën e parë të 2024. Ndërsa numri i përgjithshëm i sulmeve DDoS në tremujorin e dytë u ul me 11% nga tremujori i kaluar, rritja nga viti në vit mbetet një shqetësim i rëndësishëm.
Gjysma e të gjitha sulmeve HTTP DDoS gjatë kësaj periudhe iu atribuuan botnet-eve të njohura DDoS, me vektorë të tjerë sulmi duke përfshirë agjentë të rremë përdoruesish, shfletues pa kokë, atribute të dyshimta HTTP dhe përmbytje të përgjithshme. Vendet më të synuara ishin Kina, Turqia dhe Singapori, ndërsa sektorët e IT dhe shërbimeve, telekomit dhe mallrave të konsumit ishin viktimat kryesore.
Argjentina u shfaq si burimi më i madh i sulmeve DDoS në tremujorin e dytë 2024, e ndjekur nga Indonezia dhe Holanda. Ky peizazh kërcënimi në zhvillim nënvizon nevojën për masa të forta dhe të përditësuara sigurie për t'u mbrojtur kundër sofistikimit dhe frekuencës gjithnjë në rritje të sulmeve kibernetike.