Multi-License Discount Quote
Computer Security การใช้ประโยชน์จากช่องโหว่ PHP CVE-2024-4577...

การใช้ประโยชน์จากช่องโหว่ PHP CVE-2024-4577 จุดประกายมัลแวร์หลักและการโจมตี DDoS

โดย Mura ใน Computer Security
แปลเป็น:
ภาษาไทย

ในการพัฒนาที่น่าหนักใจ ผู้คุกคามทางไซเบอร์หลายรายได้ใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยใน PHP ที่ได้รับการเปิดเผยเมื่อเร็วๆ นี้ ซึ่งกำหนดให้เป็น CVE-2024-4577 ข้อบกพร่องร้ายแรงนี้ซึ่งมีคะแนน CVSS อยู่ที่ 9.8 ช่วยให้ผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายจากระยะไกลบนระบบ Windows ที่ใช้ภาษาจีนและภาษาญี่ปุ่นได้ ช่องโหว่ดังกล่าวซึ่งเปิดเผยต่อสาธารณะเมื่อต้นเดือนมิถุนายน พ.ศ. 2567 ส่งผลให้การกระจายมัลแวร์และการโจมตี DDoS เพิ่มขึ้นอย่างมาก

นักวิจัยของ Akamai Kyle Lefton, Allen West และ Sam Tinklenberg อธิบายในการวิเคราะห์ว่า CVE-2024-4577 อนุญาตให้ผู้โจมตีข้ามบรรทัดคำสั่งและตีความอาร์กิวเมนต์ใน PHP ได้โดยตรงเนื่องจากปัญหาเกี่ยวกับการแปลง Unicode เป็น ASCII ข้อบกพร่องนี้ถูกโจมตีอย่างรวดเร็วโดยผู้โจมตี โดยเห็นได้จากเซิร์ฟเวอร์ honeypot ที่ตรวจพบความพยายามในการหาประโยชน์ภายใน 24 ชั่วโมงหลังจากการเปิดเผยช่องโหว่ต่อสาธารณะ

ความพยายามในการหาประโยชน์เหล่านี้รวมถึงการส่งมอบเพย์โหลดที่เป็นอันตรายต่างๆ เช่น โทรจันการเข้าถึงระยะไกล Gh0st RAT โปรแกรมขุดเหมืองสกุลเงินดิจิทัล เช่น RedTail และ XMRig และบ็อตเน็ต Muhstik DDoS ผู้โจมตีได้รับการสังเกตโดยใช้เครื่องหมายยัติภังค์แบบอ่อนเพื่อดำเนินการคำขอ wget สำหรับเชลล์สคริปต์ ซึ่งจะดึงข้อมูลและติดตั้งมัลแวร์การขุด crypto RedTail จากที่อยู่ IP ในรัสเซีย

นอกเหนือจากข้อกังวลแล้ว Imperva รายงานเมื่อเดือนที่แล้วว่าช่องโหว่เดียวกันนี้กำลังถูกนำไปใช้โดยนักแสดงที่แจกจ่าย แรนซัมแวร์ TellYouThePass รุ่น .NET สิ่งนี้เน้นให้เห็นถึงการนำเอาช่องโหว่ไปใช้ในวงกว้างโดยกลุ่มอาชญากรไซเบอร์ต่างๆ

องค์กรที่ใช้ PHP ขอแนะนำอย่างยิ่งให้อัปเดตการติดตั้งเป็นเวอร์ชันล่าสุดเพื่อป้องกันภัยคุกคามที่ทำงานอยู่เหล่านี้ การใช้ประโยชน์จากช่องโหว่นี้อย่างรวดเร็วเป็นการตอกย้ำว่าผู้ป้องกันหน้าต่างที่หดตัวต้องดำเนินการตามการเปิดเผยช่องโหว่ใหม่

ในข่าวที่เกี่ยวข้อง Cloudflare รายงานการโจมตี DDoS เพิ่มขึ้น 20% ในไตรมาสที่สองของปี 2024 เมื่อเทียบกับช่วงเดียวกันของปีที่แล้ว บริษัทสามารถบรรเทาการโจมตี DDoS ได้ 8.5 ล้านครั้งในช่วงครึ่งแรกของปี 2024 เพียงอย่างเดียว แม้ว่าจำนวนการโจมตี DDoS โดยรวมในไตรมาสที่ 2 ลดลง 11% จากไตรมาสก่อนหน้า แต่การเพิ่มขึ้นเมื่อเทียบเป็นรายปียังคงเป็นข้อกังวลที่สำคัญ

ครึ่งหนึ่งของการโจมตี HTTP DDoS ทั้งหมดในช่วงเวลานี้มีสาเหตุมาจากบ็อตเน็ต DDoS ที่รู้จัก โดยมีเวกเตอร์การโจมตีอื่นๆ รวมถึงตัวแทนผู้ใช้ปลอม เบราว์เซอร์ที่ไม่มีส่วนหัว คุณลักษณะ HTTP ที่น่าสงสัย และน้ำท่วมทั่วไป ประเทศที่เป็นเป้าหมายมากที่สุด ได้แก่ จีน ตุรกี และสิงคโปร์ ในขณะที่ภาคไอทีและบริการ โทรคมนาคม และสินค้าอุปโภคบริโภคเป็นเหยื่อหลัก

อาร์เจนตินากลายเป็นแหล่งที่มาของการโจมตี DDoS ที่ใหญ่ที่สุดในไตรมาสที่ 2 ปี 2024 ตามมาด้วยอินโดนีเซียและเนเธอร์แลนด์ ภาพรวมภัยคุกคามที่เปลี่ยนแปลงไปนี้เน้นย้ำถึงความจำเป็นในการใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งและทันสมัย เพื่อป้องกันความซับซ้อนและความถี่ของการโจมตีทางไซเบอร์ที่เพิ่มมากขึ้นเรื่อยๆ


กำลังโหลด...