Vulnerabilidade no PHP explorada para espalhar malware e lançar ataques DDoS
Nos últimos meses, múltiplos grupos de cibercriminosos foram observados explorando uma falha de segurança recentemente divulgada no PHP para distribuir trojans de acesso remoto, mineradores de criptomoedas e botnets de ataque distribuído de negação de serviço (DDoS).
A vulnerabilidade em questão, identificada como CVE-2024-4577 (com uma pontuação CVSS de 9.8), permite que invasores executem comandos maliciosos remotamente em sistemas Windows que utilizam configurações de idioma chinês e japonês. A falha foi divulgada publicamente no início de junho de 2024.
Detalhes da vulnerabilidade
De acordo com uma análise conduzida pelos pesquisadores da Akamai, Kyle Lefton, Allen West e Sam Tinklenberg, “CVE-2024-4577 é uma falha que permite que um invasor escape da linha de comando e passe argumentos para serem interpretados diretamente pelo PHP”. O problema está na conversão de caracteres Unicode para ASCII, o que abre uma porta para a exploração.
A Akamai relatou que começou a observar tentativas de exploração contra seus servidores honeypot apenas 24 horas após a vulnerabilidade ter sido divulgada. Entre os ataques observados, estavam tentativas de entrega do trojan de acesso remoto Gh0st RAT, mineradores de criptomoedas como RedTail e XMRig, além de um botnet DDoS conhecido como Muhstik.
Os pesquisadores explicaram que “o invasor enviou uma solicitação semelhante às outras vistas em operações anteriores do RedTail, abusando da falha com o uso de ‘%ADd’, para executar uma requisição wget para um script shell”. Este script, por sua vez, faz outra solicitação de rede para o mesmo endereço IP baseado na Rússia, a fim de obter uma versão x86 do malware minerador de criptomoedas RedTail.
Exploração por vários grupos de ameaças
Além disso, em julho de 2024, a Imperva revelou que a vulnerabilidade CVE-2024-4577 estava sendo explorada por atores maliciosos por trás do ransomware TellYouThePass para distribuir uma variante em .NET do malware de criptografia de arquivos. Estes ataques reforçam a necessidade de que organizações e usuários que utilizam PHP atualizem suas instalações para a versão mais recente, a fim de se protegerem contra essas ameaças em constante evolução.
Os pesquisadores alertaram que “o tempo que os defensores têm para se protegerem após a divulgação de uma nova vulnerabilidade está se tornando cada vez menor, e isso representa um risco de segurança crítico”. Isso é especialmente verdadeiro para esta falha no PHP, dada sua alta explorabilidade e rápida adoção por criminosos cibernéticos.
Ataques DDoS em crescimento
Essas descobertas surgem no mesmo momento em que a Cloudflare divulgou um aumento de 20% nos ataques DDoS no segundo trimestre de 2024, em comparação ao mesmo período do ano anterior. A empresa relatou que mitigou 8,5 milhões de ataques DDoS nos primeiros seis meses de 2024, em comparação com os 14 milhões de ataques bloqueados ao longo de todo o ano de 2023.
Embora o número total de ataques DDoS no segundo trimestre tenha diminuído 11% em relação ao trimestre anterior, houve um aumento de 20% em comparação ao ano anterior. A Cloudflare também destacou que botnets conhecidos de DDoS foram responsáveis por metade de todos os ataques DDoS em HTTP. Outros vetores de ataque comuns incluíam agentes de usuário falsos e navegadores sem interface (29%), atributos HTTP suspeitos (13%) e inundações genéricas (7%).
Entre os países mais atacados estavam a China, seguida por Turquia, Singapura, Hong Kong, Rússia, Brasil, Tailândia, Canadá, Taiwan e Quirguistão. Os setores mais visados por ataques DDoS incluem tecnologia da informação e serviços, telecomunicações, bens de consumo, educação, construção civil e alimentação e bebidas.
Fontes e países de origem dos ataques
Outro dado relevante é que a Argentina foi classificada como a maior fonte de ataques DDoS no segundo trimestre de 2024, seguida de perto pela Indonésia, com os Países Baixos ocupando a terceira posição. A Cloudflare também observou que a Ucrânia ficou na 103ª posição entre os países mais atacados no mesmo período, com base em parâmetros como volume total de ataques e porcentagens do tráfego.
No entanto, quando analisados apenas os ataques DDoS direcionados à Ucrânia, os pesquisadores notaram um aumento gradual dos ataques ao longo dos últimos quatro trimestres. Esses números se assemelham aos níveis observados no início da invasão russa em larga escala da Ucrânia em 2022. No segundo trimestre de 2024, a Cloudflare mitigou 143 bilhões de requisições DDoS contra a Ucrânia, representando aproximadamente 5,8% de todo o tráfego da web destinado ao país, um aumento de 75% em relação ao trimestre anterior e um aumento impressionante de 625% ano a ano.
Conclusão
Com a crescente sofisticação dos ataques e a rapidez com que novas vulnerabilidades são exploradas, como no caso da CVE-2024-4577, é fundamental que empresas e indivíduos permaneçam atentos e adotem medidas proativas para proteger seus sistemas. A atualização constante de softwares e a implementação de práticas de segurança robustas são essenciais para mitigar os riscos e manter a integridade de seus sistemas e dados. O cenário de ameaças cibernéticas continua a evoluir rapidamente, e a defesa contra esses ataques requer um esforço contínuo e coordenado.
Fonte: https://thehackernews.com/2024/07/php-vulnerability-exploited-to-spread.html