Utnyttjande av PHP-sårbarhet CVE-2024-4577 utlöser större skadlig programvara och DDoS-attacker

I en oroande utveckling har flera cyberhotsaktörer aktivt utnyttjat en nyligen avslöjad säkerhetsrisk i PHP, kallad CVE-2024-4577 . Detta kritiska fel, med ett CVSS-poäng på 9,8, gör att angripare kan fjärrköra skadliga kommandon på Windows-system som använder kinesiska och japanska språkspråk. Sårbarheten, som offentliggjordes i början av juni 2024, har lett till en betydande ökning av distributionen av skadlig programvara och DDoS-attacker.

Akamai-forskarna Kyle Lefton, Allen West och Sam Tinklenberg förklarade i sin analys att CVE-2024-4577 tillåter angripare att kringgå kommandoraden och direkt tolka argument i PHP på grund av problem med Unicode-till-ASCII-konvertering. Denna brist har snabbt utnyttjats av angripare, vilket framgår av honeypot-servrar som upptäcker utnyttjandeförsök inom 24 timmar efter att sårbarheten offentliggjordes.

Dessa utnyttjandeförsök inkluderar leverans av en mängd skadliga nyttolaster, såsom Gh0st RAT-trojanen för fjärråtkomst, gruvarbetare för kryptovaluta som RedTail och XMRig och Muhstik DDoS-botnätet. Angripare har observerats använda ett mjukt bindestrecksfel för att exekvera en wget-begäran för ett skalskript, som sedan hämtar och installerar RedTail-krypteringsprogrammet från en Rysslandsbaserad IP-adress.

För att öka oron rapporterade Imperva förra månaden att samma sårbarhet utnyttjas av aktörer som distribuerar en .NET-variant av TellYouThePass ransomware . Detta belyser den breda användningen av utnyttjandet av olika cyberkriminella grupper.

Organisationer som använder PHP rekommenderas starkt att uppdatera sina installationer till den senaste versionen för att skydda mot dessa aktiva hot. Det snabba utnyttjandet av denna sårbarhet understryker de krympande fönsterförsvarare som måste agera efter ett nytt avslöjande av sårbarhet.

I relaterade nyheter har Cloudflare rapporterat en 20% ökning av DDoS-attacker under andra kvartalet 2024 jämfört med samma period förra året. Företaget mildrade 8,5 miljoner DDoS-attacker bara under första halvåret 2024. Medan det totala antalet DDoS-attacker under andra kvartalet minskade med 11 % från föregående kvartal, är ökningen från år till år ett betydande problem.

Hälften av alla HTTP DDoS-attacker under denna period tillskrevs kända DDoS-botnät, med andra attackvektorer inklusive falska användaragenter, huvudlösa webbläsare, misstänkta HTTP-attribut och generiska översvämningar. De mest riktade länderna var Kina, Turkiet och Singapore, medan sektorerna IT och tjänster, telekom och konsumentvaror var de främsta offren.

Argentina dök upp som den största källan till DDoS-attacker under andra kvartalet 2024, följt av Indonesien och Nederländerna. Detta föränderliga hotlandskap understryker behovet av robusta och uppdaterade säkerhetsåtgärder för att skydda mot den ständigt växande sofistikeringen och frekvensen av cyberattacker.