PHP 漏洞 CVE-2024-4577 遭利用，引发重大恶意软件和 DDoS 攻击

令人不安的是，多个网络威胁行为者一直在积极利用最近披露的 PHP 安全漏洞CVE-2024-4577 。此严重漏洞的 CVSS 评分为 9.8，允许攻击者在使用中文和日语语言环境的 Windows 系统上远程执行恶意命令。该漏洞于 2024 年 6 月初公开披露，导致恶意软件传播和 DDoS 攻击显著增加。

Akamai 研究人员 Kyle Lefton、Allen West 和 Sam Tinklenberg 在他们的分析中解释道，由于 Unicode 到 ASCII 的转换问题，CVE-2024-4577 允许攻击者绕过命令行并直接解释 PHP 中的参数。此漏洞已被攻击者迅速利用，从漏洞公开披露后的 24 小时内，蜜罐服务器检测到了利用尝试就可以看出这一点。

这些攻击尝试包括传递各种恶意负载，例如 Gh0st RAT 远程访问木马、RedTail 和 XMRig 等加密货币挖矿程序以及 Muhstik DDoS 僵尸网络。据观察，攻击者利用软连字符漏洞执行 wget 请求以获取 shell 脚本，然后从俄罗斯的 IP 地址检索并安装 RedTail 加密货币挖矿恶意软件。

更令人担忧的是，Imperva 上个月报告称，同样的漏洞正被攻击者利用，传播TellYouThePass 勒索软件的 .NET 变种。这凸显了各种网络犯罪集团广泛采用该漏洞。

强烈建议使用 PHP 的组织将其安装更新到最新版本，以防范这些活跃威胁。此漏洞的快速利用凸显了防御者在新的漏洞披露后采取行动的时间越来越短。

相关新闻中，Cloudflare 报告称，2024 年第二季度的 DDoS 攻击次数与去年同期相比增加了 20%。仅在 2024 年上半年，该公司就缓解了 850 万次 DDoS 攻击。虽然第二季度的 DDoS 攻击总数较上一季度减少了 11%，但同比增长仍然是一个重大问题。

在此期间，一半的 HTTP DDoS 攻击都归因于已知的 DDoS 僵尸网络，其他攻击媒介包括虚假用户代理、无头浏览器、可疑 HTTP 属性和通用洪水。最受攻击的国家是中国、土耳其和新加坡，而 IT 和服务、电信和消费品行业是主要受害者。

2024 年第二季度，阿根廷成为最大的 DDoS 攻击源，其次是印度尼西亚和荷兰。这种不断变化的威胁形势凸显了采取强大且最新的安全措施以防范日益复杂和频繁的网络攻击的必要性。