Khai thác lỗ hổng PHP CVE-2024-4577 gây ra các cuộc tấn công phần mềm độc hại và DDoS lớn

Trong một diễn biến đáng lo ngại, nhiều tác nhân đe dọa mạng đã tích cực khai thác lỗ hổng bảo mật được tiết lộ gần đây trong PHP, được chỉ định là CVE-2024-4577 . Lỗ hổng nghiêm trọng này, với điểm CVSS là 9,8, cho phép kẻ tấn công thực thi từ xa các lệnh độc hại trên các hệ thống Windows sử dụng ngôn ngữ tiếng Trung và tiếng Nhật. Lỗ hổng này được tiết lộ công khai vào đầu tháng 6 năm 2024, đã dẫn đến sự gia tăng đáng kể việc phân phối phần mềm độc hại và các cuộc tấn công DDoS.

Các nhà nghiên cứu của Akamai, Kyle Lefton, Allen West và Sam Tinklenberg đã giải thích trong phân tích của họ rằng CVE-2024-4577 cho phép kẻ tấn công bỏ qua dòng lệnh và giải thích trực tiếp các đối số trong PHP do các vấn đề khi chuyển đổi Unicode sang ASCII. Lỗ hổng này đã bị những kẻ tấn công khai thác nhanh chóng, bằng chứng là các máy chủ honeypot đã phát hiện các nỗ lực khai thác trong vòng 24 giờ kể từ khi lỗ hổng được tiết lộ công khai.

Những nỗ lực khai thác này bao gồm việc phân phối nhiều loại tải trọng độc hại, chẳng hạn như trojan truy cập từ xa Gh0st RAT, các công cụ khai thác tiền điện tử như RedTail và XMRig cũng như botnet Muhstik DDoS. Người ta đã quan sát thấy những kẻ tấn công sử dụng lỗ hổng dấu gạch nối mềm để thực thi yêu cầu wget cho tập lệnh shell, sau đó truy xuất và cài đặt phần mềm độc hại khai thác tiền điện tử RedTail từ địa chỉ IP có trụ sở tại Nga.

Thêm vào mối lo ngại, Imperva đã báo cáo vào tháng trước rằng lỗ hổng tương tự đang bị khai thác bởi những kẻ phân phối biến thể .NET của phần mềm ransomware TellYouThePass . Điều này nhấn mạnh việc áp dụng rộng rãi việc khai thác của các nhóm tội phạm mạng khác nhau.

Các tổ chức sử dụng PHP được khuyên nên cập nhật cài đặt của họ lên phiên bản mới nhất để bảo vệ khỏi các mối đe dọa đang hoạt động này. Việc khai thác nhanh chóng lỗ hổng này cho thấy những người bảo vệ cửa sổ thu hẹp phải hành động sau khi phát hiện lỗ hổng mới.

Trong tin tức liên quan, Cloudflare đã báo cáo số vụ tấn công DDoS tăng 20% trong quý 2 năm 2024 so với cùng kỳ năm ngoái. Công ty đã giảm thiểu 8,5 triệu cuộc tấn công DDoS chỉ trong nửa đầu năm 2024. Mặc dù tổng số vụ tấn công DDoS trong quý 2 giảm 11% so với quý trước, nhưng mức tăng so với cùng kỳ năm trước vẫn là một mối lo ngại đáng kể.

Một nửa số cuộc tấn công DDoS HTTP trong thời gian này được cho là do các botnet DDoS đã biết, cùng với các vectơ tấn công khác bao gồm tác nhân người dùng giả mạo, trình duyệt không có giao diện người dùng, thuộc tính HTTP đáng ngờ và lũ lụt chung. Các quốc gia được nhắm mục tiêu nhiều nhất là Trung Quốc, Thổ Nhĩ Kỳ và Singapore, trong khi lĩnh vực CNTT và dịch vụ, viễn thông và hàng tiêu dùng là nạn nhân chính.

Argentina nổi lên là nguồn tấn công DDoS lớn nhất trong quý 2 năm 2024, tiếp theo là Indonesia và Hà Lan. Bối cảnh mối đe dọa ngày càng gia tăng này nhấn mạnh sự cần thiết của các biện pháp bảo mật mạnh mẽ và cập nhật để bảo vệ chống lại sự phức tạp và tần suất ngày càng tăng của các cuộc tấn công mạng.