PHP 漏洞 CVE-2024-4577 的利用引發重大惡意軟體和 DDoS 攻擊

令人不安的是，多個網路威脅參與者一直在積極利用最近披露的 PHP 安全漏洞（編號為CVE-2024-4577） 。這一嚴重缺陷的 CVSS 評分為 9.8，允許攻擊者在使用中文和日語語言環境的 Windows 系統上遠端執行惡意命令。該漏洞於 2024 年 6 月初公開揭露，導致惡意軟體分發和 DDoS 攻擊大幅增加。

Akamai 研究人員 Kyle Lefton、Allen West 和 Sam Tinklenberg 在他們的分析中解釋說，由於 Unicode 到 ASCII 轉換的問題，CVE-2024-4577 允許攻擊者繞過命令列並直接解釋 PHP 中的參數。該漏洞已被攻擊者迅速利用，蜜罐伺服器在漏洞公開披露後 24 小時內檢測到利用嘗試就證明了這一點。

這些利用嘗試包括傳送各種惡意負載，例如 Gh0st RAT 遠端存取木馬、RedTail 和 XMRig 等加密貨幣挖礦程式以及 Muhstik DDoS 殭屍網路。據觀察，攻擊者使用軟連字符缺陷來執行 shell 腳本的 wget 請求，然後從基於俄羅斯的 IP 位址檢索並安裝 RedTail 加密挖掘惡意軟體。

更令人擔憂的是，Imperva 上個月報告稱，傳播TellYouThePass 勒索軟體.NET 變體的攻擊者正在利用相同漏洞。這凸顯了各種網路犯罪團體廣泛採用此漏洞。

強烈建議使用 PHP 的組織將其安裝更新到最新版本，以防範這些主動威脅。該漏洞的快速利用凸顯了防禦者在新漏洞揭露後必須採取行動的窗口期正在縮短。

在相關新聞中，Cloudflare 報告稱，2024 年第二季 DDoS 攻擊與去年同期相比增加了 20%。光是 2024 年上半年，該公司就緩解了 850 萬次 DDoS 攻擊。儘管第二季 DDoS 攻擊總數較上一季下降了 11%，但同比增長仍然令人擔憂。

在此期間，一半的 HTTP DDoS 攻擊歸因於已知的 DDoS 殭屍網絡，其他攻擊媒介包括虛假用戶代理、無頭瀏覽器、可疑 HTTP 屬性和通用洪水。最受攻擊的國家是中國、土耳其和新加坡，而IT和服務、電信和消費品產業則是主要受害者。

阿根廷成為 2024 年第二季最大的 DDoS 攻擊源，其次是印尼和荷蘭。這種不斷變化的威脅情勢凸顯了對強大且最新的安全措施的需求，以防範日益複雜和頻繁的網路攻擊。