Експлуатація вразливості PHP CVE-2024-4577 викликає серйозні атаки зловмисного програмного забезпечення та DDoS-атак

У результаті тривожного розвитку подій кілька суб’єктів кіберзагрози активно використовували нещодавно виявлену вразливість безпеки в PHP, позначену як CVE-2024-4577 . Цей критичний недолік із оцінкою CVSS 9,8 дозволяє зловмисникам віддалено виконувати зловмисні команди в системах Windows, які використовують китайську та японську мови. Уразливість, оприлюднена на початку червня 2024 року, призвела до значного збільшення поширення шкідливого програмного забезпечення та DDoS-атак.

Дослідники Akamai Кайл Лефтон, Аллен Вест і Сем Тінкленберг пояснили у своєму аналізі, що CVE-2024-4577 дозволяє зловмисникам обходити командний рядок і безпосередньо інтерпретувати аргументи в PHP через проблеми з перетворенням Unicode в ASCII. Цією вадою швидко скористалися зловмисники, про що свідчать сервери honeypot, які виявляють спроби експлойту протягом 24 годин після публічного розкриття вразливості.

Ці спроби експлойтів включають доставку різних шкідливих корисних навантажень, таких як троян віддаленого доступу Gh0st RAT, криптовалютні майнери, такі як RedTail і XMRig, і ботнет Muhstik DDoS. Було помічено, що зловмисники використовують помилку з м’яким дефісом для виконання запиту wget для сценарію оболонки, який потім отримує та встановлює зловмисне програмне забезпечення RedTail для криптомайнінгу з російської IP-адреси.

Крім того, Imperva повідомила минулого місяця, що цю ж вразливість використовують суб’єкти, які розповсюджують .NET-версію програми-вимагача TellYouThePass . Це підкреслює широке застосування експлойту різними групами кіберзлочинців.

Організаціям, які використовують PHP, настійно рекомендується оновити свої інсталяції до останньої версії для захисту від цих активних загроз. Швидке використання цієї вразливості підкреслює, що захисники вікон, які скорочуються, повинні діяти після розкриття нової вразливості.

У відповідних новинах Cloudflare повідомила про збільшення DDoS-атак на 20% у другому кварталі 2024 року порівняно з тим же періодом минулого року. Лише за перше півріччя 2024 року компанія пом’якшила 8,5 мільйонів DDoS-атак. Хоча загальна кількість DDoS-атак у другому кварталі зменшилася на 11% порівняно з попереднім кварталом, зростання порівняно з минулим роком залишається серйозним занепокоєнням.

Половина всіх атак HTTP DDoS протягом цього періоду була пов’язана з відомими ботнетами DDoS, з іншими векторами атак, включаючи підроблені агенти користувача, безголові браузери, підозрілі атрибути HTTP та загальні повені. Країни, націлені на найбільше нападів, були Китаєм, Туреччиною та Сінгапуром, тоді як головними жертвами були ІТ та сектори послуг, телекомунікації та споживчі товари.

Аргентина виявилася найбільшим джерелом DDoS-атак у другому кварталі 2024 року, за нею йдуть Індонезія та Нідерланди. Цей ландшафт загроз, що розвивається, підкреслює необхідність надійних і сучасних заходів безпеки для захисту від постійно зростаючої складності та частоти кібератак.