Diversos agentes maliciosos foram observados explorando uma falha de segurança recentemente divulgada no PHP para distribuir trojans de acesso remoto, mineradores de criptomoedas e botnets de ataques de negação de serviço distribuído (DDoS).
A vulnerabilidade em questão é a CVE-2024-4577 (pontuação CVSS: 9.8), que permite a um atacante executar comandos maliciosos remotamente em sistemas Windows utilizando locais de idioma chinês e japonês, conforme informação publicada no início de junho de 2024.
“CVE-2024-4577 é uma falha que permite a um atacante escapar da linha de comando e passar argumentos para serem interpretados diretamente pelo PHP”, relataram os pesquisadores da Akamai Kyle Lefton, Allen West e Sam Tinklenberg em uma análise publicada na quarta-feira. “A vulnerabilidade em si reside na forma como os caracteres Unicode são convertidos em ASCII.”
A empresa de infraestrutura web afirmou que começou a observar tentativas de exploração contra seus servidores honeypot visando a falha no PHP dentro de 24 horas após o conhecimento público. Isso incluiu explorações projetadas para entregar um trojan de acesso remoto chamado Gh0st RAT, mineradores de criptomoedas como RedTail e XMRig, e um botnet DDoS chamado Muhstik.
“O atacante enviou um pedido semelhante aos outros vistos em operações anteriores do RedTail, abusando da falha do hífen suave com ‘%ADd’, para executar uma solicitação wget para um script shell”, explicaram os pesquisadores. “Este script faz uma solicitação de rede adicional para o mesmo endereço IP baseado na Rússia para recuperar uma versão x86 do malware de mineração de criptomoedas RedTail.”
No mês passado, a Imperva também revelou que a CVE-2024-4577 está sendo explorada por atores do ransomware TellYouThePass para distribuir uma variante .NET do malware de criptografia de arquivos.
Usuários e organizações que dependem do PHP são recomendados a atualizar suas instalações para a versão mais recente para se protegerem contra ameaças ativas.
“O tempo cada vez menor que os defensores têm para se protegerem após a divulgação de uma nova vulnerabilidade é mais um risco crítico de segurança”, concluíram os pesquisadores. “Isso é especialmente verdadeiro para essa vulnerabilidade do PHP devido à sua alta explorabilidade e rápida adoção por atores maliciosos.”
A divulgação ocorre enquanto a Cloudflare afirmou ter registrado um aumento de 20% ano a ano nos ataques DDoS no segundo trimestre de 2024, e que mitigou 8,5 milhões de ataques DDoS durante os primeiros seis meses. Em comparação, a empresa bloqueou 14 milhões de ataques DDoS durante todo o ano de 2023.
“No geral, o número de ataques DDoS no segundo trimestre diminuiu 11% em relação ao trimestre anterior, mas aumentou 20% ano a ano”, informaram os pesquisadores Omer Yoachimik e Jorge Pacheco no relatório de ameaças DDoS para o segundo trimestre de 2024.
Além disso, botnets DDoS conhecidos representaram metade de todos os ataques DDoS HTTP. Agentes de usuário falsos e navegadores sem cabeça (29%), atributos HTTP suspeitos (13%) e inundações genéricas (7%) foram os outros vetores proeminentes de ataques DDoS HTTP.
O país mais atacado durante o período foi a China, seguido pela Turquia, Cingapura, Hong Kong, Rússia, Brasil, Tailândia, Canadá, Taiwan e Quirguistão. Tecnologia da informação e serviços, telecomunicações, bens de consumo, educação, construção e alimentos e bebidas emergiram como os principais setores visados por ataques DDoS.
“A Argentina foi classificada como a maior fonte de ataques DDoS no segundo trimestre de 2024”, conforme relato dos pesquisadores. “A Indonésia seguiu de perto em segundo lugar, seguida pelos Países Baixos em terceiro.”
Fonte: https://thehackernews.com/2024/07/php-vulnerability-exploited-to-spread.html