Ang pagsasamantala sa PHP Vulnerability CVE-2024-4577 Nagsparks ng Pangunahing Malware at DDoS Attacks
Sa isang nakakabagabag na pag-unlad, maraming aktor ng banta sa cyber ang aktibong nagsasamantala sa kamakailang ibinunyag na kahinaan sa seguridad sa PHP, na itinalaga bilang CVE-2024-4577 . Ang kritikal na kapintasan na ito, na may marka ng CVSS na 9.8, ay nagbibigay-daan sa mga umaatake na malayuang magsagawa ng mga nakakahamak na utos sa mga Windows system na gumagamit ng mga lokal na wikang Chinese at Japanese. Ang kahinaan, na ibinunyag sa publiko noong unang bahagi ng Hunyo 2024, ay humantong sa isang makabuluhang pagtaas sa pamamahagi ng malware at mga pag-atake ng DDoS.
Ipinaliwanag ng mga mananaliksik ng Akamai na sina Kyle Lefton, Allen West, at Sam Tinklenberg sa kanilang pagsusuri na ang CVE-2024-4577 ay nagpapahintulot sa mga umaatake na i-bypass ang command line at direktang bigyang-kahulugan ang mga argumento sa PHP dahil sa mga isyu sa conversion ng Unicode-to-ASCII. Ang kapintasan na ito ay mabilis na pinagsamantalahan ng mga umaatake, gaya ng pinatunayan ng mga server ng honeypot na naka-detect ng mga pagtatangka sa pagsasamantala sa loob ng 24 na oras pagkatapos ng pampublikong pagsisiwalat ng kahinaan.
Kasama sa mga pagsasamantalang ito ang paghahatid ng iba't ibang malisyosong payload, gaya ng Gh0st RAT remote access trojan, mga minero ng cryptocurrency tulad ng RedTail at XMRig, at ang Muhstik DDoS botnet. Naobserbahan ang mga umaatake gamit ang mahinang hyphen flaw para magsagawa ng wget request para sa shell script, na pagkatapos ay kinukuha at ini-install ang RedTail crypto-mining malware mula sa isang IP address na nakabase sa Russia.
Dagdag pa sa pag-aalala, iniulat ni Imperva noong nakaraang buwan na ang parehong kahinaan ay sinasamantala ng mga aktor na namamahagi ng .NET na variant ng TellYouThePass ransomware . Itinatampok nito ang malawak na pag-aampon ng pagsasamantala ng iba't ibang grupo ng cybercriminal.
Ang mga organisasyong gumagamit ng PHP ay mahigpit na pinapayuhan na i-update ang kanilang mga pag-install sa pinakabagong bersyon upang maprotektahan laban sa mga aktibong banta na ito. Ang mabilis na pagsasamantala sa kahinaang ito ay binibigyang-diin ang lumiliit na window defenders na kailangang kumilos kasunod ng isang bagong pagsisiwalat ng kahinaan.
Sa kaugnay na balita, nag-ulat ang Cloudflare ng 20% na pagtaas sa mga pag-atake ng DDoS sa ikalawang quarter ng 2024 kumpara sa parehong panahon noong nakaraang taon. Ang kumpanya ay nagpagaan ng 8.5 milyong pag-atake ng DDoS sa unang kalahati ng 2024 lamang. Habang ang kabuuang bilang ng mga pag-atake ng DDoS sa Q2 ay bumaba ng 11% mula sa nakaraang quarter, ang pagtaas ng taon-sa-taon ay nananatiling isang makabuluhang alalahanin.
Kalahati ng lahat ng pag-atake ng HTTP DDoS sa panahong ito ay naiugnay sa mga kilalang DDoS botnet, kasama ang iba pang mga vector ng pag-atake kabilang ang mga pekeng user agent, walang ulo na browser, kahina-hinalang HTTP attribute, at generic na pagbaha. Ang pinaka-target na mga bansa ay ang China, Turkey, at Singapore, habang ang sektor ng IT at mga serbisyo, telecom, at consumer goods ang mga pangunahing biktima.
Ang Argentina ay lumabas bilang pinakamalaking pinagmumulan ng mga pag-atake ng DDoS noong Q2 2024, na sinundan ng Indonesia at Netherlands. Itong umuusbong na tanawin ng pagbabanta ay binibigyang-diin ang pangangailangan para sa matatag at napapanahon na mga hakbang sa seguridad upang mapangalagaan laban sa patuloy na lumalagong pagiging sopistikado at dalas ng cyberattacks.