Se ha observado que varios actores maliciosos explotan una falla de seguridad recientemente revelada en PHP para difundir troyanos de acceso remoto, mineros de criptomonedas y botnets de denegación de servicio distribuido (DDoS).
La vulnerabilidad en cuestión es CVE-2024-4577 (puntuación CVSS: 9,8), que permite a un atacante ejecutar de forma remota comandos maliciosos en sistemas Windows utilizando configuraciones regionales chinas y japonesas. Se hizo público a principios de junio de 2024.
«CVE-2024-4577 es una falla que permite a un atacante escapar de la línea de comando y pasar argumentos para que PHP los interprete directamente», dijeron los investigadores de Akamai Kyle Lefton, Allen West y Sam Tinklenberg. dicho en un análisis publicado el miércoles. “La vulnerabilidad en sí radica en la forma en que los caracteres Unicode se convierten a ASCII. »
La compañía de infraestructura web dijo que comenzó a observar intentos de explotación contra sus servidores honeypot dirigidos a la falla de PHP dentro de las 24 horas posteriores a su publicación.
Esto incluía exploits diseñados para entregar un troyano de acceso remoto llamado Gh0st RAT, mineros de criptomonedas como RedTail y XMRig, y una botnet DDoS llamada Muhstik.
«El atacante envió una solicitud similar a las observadas en operaciones anteriores de RedTail, explotando el error de guión suave con ‘%ADd’, para ejecutar una solicitud wget para un script de shell», explicaron los investigadores. “Este script realiza una solicitud de red adicional a la misma dirección IP rusa para recuperar una versión x86 del malware de criptominería RedTail. »
El mes pasado, Imperva también reveló que CVE-2024-4577 estaba siendo explotado por actores de ransomware TellYouThePass para distribuir una variante .NET del malware de cifrado de archivos.
Se recomienda a los usuarios y organizaciones que dependen de PHP que actualicen sus instalaciones a la última versión para protegerse contra amenazas activas.
«Otro riesgo de seguridad crítico es el tiempo cada vez más corto que tienen los defensores para protegerse después de la revelación de una nueva vulnerabilidad», dijeron los investigadores. “Esto es particularmente cierto para esta vulnerabilidad de PHP debido a su alta explotabilidad y rápida adopción por parte de actores maliciosos. »
La revelación se produce cuando Cloudflare dijo que experimentó un aumento interanual del 20% en los ataques DDoS en el segundo trimestre de 2024 y mitigó 8,5 millones de ataques DDoS en los primeros seis meses. En comparación, la empresa bloqueó 14 millones de ataques DDoS en todo 2023.
«En general, el número de ataques DDoS en el segundo trimestre disminuyó un 11% en comparación con el trimestre anterior, pero aumentó un 20% en comparación con el año anterior», dijeron los investigadores Omer Yoachimik y Jorge Pacheco. dicho en el Informe sobre amenazas DDoS del segundo trimestre de 2024.
Además, las botnets DDoS conocidas representaron la mitad de todos los ataques HTTP DDoS. Agentes de usuario falsos y navegadores sin GUI (29%), atributos HTTP sospechosos (13%) y inundaciones genéricas (7%) fueron los siguientes principales vectores de ataque HTTP DDoS.
El país más atacado durante este período es China, seguido de Turquía, Singapur, Hong Kong, Rusia, Brasil, Tailandia, Canadá, Taiwán y Kirguistán. Las industrias de tecnología y servicios de la información, telecomunicaciones, bienes de consumo, educación, construcción y alimentos y bebidas se han convertido en los principales sectores objetivo de los ataques DDoS.
“Argentina fue clasificada como la mayor fuente de ataques DDoS en el segundo trimestre de 2024”, dijeron los investigadores. “Indonesia le sigue de cerca en segundo lugar, seguida por los Países Bajos en tercer lugar. »