PHP CVE-2024-4577 Güvenlik Açığından Yararlanmak Büyük Kötü Amaçlı Yazılımlara ve DDoS Saldırılarına Yol Açıyor

Sorunlu bir gelişme olarak, çok sayıda siber tehdit aktörü, PHP'de yakın zamanda açıklanan ve CVE-2024-4577 olarak adlandırılan bir güvenlik açığından aktif olarak yararlanıyor. CVSS puanı 9,8 olan bu kritik kusur, saldırganların Çince ve Japonca yerel ayarlarını kullanan Windows sistemlerinde kötü amaçlı komutları uzaktan yürütmesine olanak tanıyor. Haziran 2024'ün başlarında kamuya açıklanan güvenlik açığı, kötü amaçlı yazılım dağıtımında ve DDoS saldırılarında önemli bir artışa yol açtı.

Akamai araştırmacıları Kyle Lefton, Allen West ve Sam Tinklenberg, analizlerinde CVE-2024-4577'nin, Unicode'dan ASCII'ye dönüşümle ilgili sorunlar nedeniyle saldırganların komut satırını atlamasına ve PHP'deki argümanları doğrudan yorumlamasına izin verdiğini açıkladı. Honeypot sunucularının, güvenlik açığının kamuya açıklanmasından sonraki 24 saat içinde istismar girişimlerini tespit etmesiyle kanıtlandığı gibi, bu kusur saldırganlar tarafından hızla istismar edildi.

Bu istismar girişimleri arasında Gh0st RAT uzaktan erişim truva atı, RedTail ve XMRig gibi kripto para madencileri ve Muhstik DDoS botnet gibi çeşitli kötü amaçlı yüklerin dağıtımı yer alıyor. Saldırganların, bir kabuk komut dosyası için bir wget isteği yürütmek için yumuşak bir tire hatası kullandıkları ve bunun daha sonra Rusya merkezli bir IP adresinden RedTail kripto madenciliği kötü amaçlı yazılımını alıp yüklediği gözlemlendi.

Endişeyi daha da artıran Imperva, geçen ay aynı güvenlik açığının TellYouThePass fidye yazılımının .NET versiyonunu dağıtan aktörler tarafından da kullanıldığını bildirdi. Bu durum, istismarın çeşitli siber suç grupları tarafından geniş çapta benimsendiğinin altını çiziyor.

PHP kullanan kuruluşların, bu aktif tehditlere karşı korunmak için kurulumlarını en son sürüme güncellemeleri şiddetle tavsiye edilir. Bu güvenlik açığından hızlı bir şekilde yararlanılması, savunucuların yeni bir güvenlik açığının açıklanmasının ardından harekete geçmeleri gereken daralan pencerenin altını çiziyor.

İlgili haberde Cloudflare, 2024 yılının ikinci çeyreğinde DDoS saldırılarında geçen yılın aynı dönemine göre %20 artış bildirdi. Şirket yalnızca 2024'ün ilk yarısında 8,5 milyon DDoS saldırısını hafifletti. İkinci çeyrekteki genel DDoS saldırılarının sayısı önceki çeyreğe göre %11 azalırken, yıldan yıla artış önemli bir endişe kaynağı olmaya devam ediyor.

Bu dönemdeki tüm HTTP DDoS saldırılarının yarısı, sahte kullanıcı aracıları, başsız tarayıcılar, şüpheli HTTP öznitelikleri ve genel saldırılar gibi diğer saldırı vektörleriyle birlikte bilinen DDoS botnet'lerine atfedildi. En çok hedef alınan ülkeler Çin, Türkiye ve Singapur olurken, BT ve hizmetler, telekom ve tüketim malları sektörleri birincil kurbanlar oldu.

Arjantin, 2024'ün ikinci çeyreğinde DDoS saldırılarının en büyük kaynağı olurken, onu Endonezya ve Hollanda izledi. Bu gelişen tehdit ortamı, siber saldırıların giderek artan karmaşıklığına ve sıklığına karşı koruma sağlamak için sağlam ve güncel güvenlik önlemlerine olan ihtiyacın altını çiziyor.