Vários agentes maliciosos foram observados a explorar uma falha de segurança recentemente divulgada no PHP para distribuir trojans de acesso remoto, mineradores de criptomoedas e botnets de negação de serviço distribuída (DDoS).
A vulnerabilidade em questão é a CVE-2024-4577 (pontuação CVSS: 9.8), que permite a um atacante executar remotamente comandos maliciosos em sistemas Windows utilizando locais de idioma chinês e japonês. Foi divulgada publicamente no início de junho de 2024.
“A CVE-2024-4577 é uma falha que permite a um atacante escapar da linha de comando e passar argumentos para serem interpretados diretamente pelo PHP,” disseram os investigadores da Akamai Kyle Lefton, Allen West e Sam Tinklenberg numa análise na quarta-feira. “A vulnerabilidade reside na forma como os caracteres Unicode são convertidos em ASCII.”
A empresa de infraestruturas web afirmou que começou a observar tentativas de exploração contra os seus servidores honeypot visando a falha no PHP dentro de 24 horas após a divulgação pública.
Isto incluiu explorações desenhadas para entregar um trojan de acesso remoto chamado Gh0st RAT, mineradores de criptomoedas como RedTail e XMRig, e um botnet DDoS denominado Muhstik.
“O atacante enviou um pedido semelhante aos vistos em operações anteriores do RedTail, abusando da falha do hífen suave com ‘%ADd,’ para executar um comando wget para um script de shell,” explicaram os investigadores. “Este script faz um pedido de rede adicional para o mesmo endereço IP baseado na Rússia para recuperar uma versão x86 do malware de mineração de criptomoedas RedTail.”
No mês passado, a Imperva também revelou que a CVE-2024-4577 está a ser explorada por actores do ransomware TellYouThePass para distribuir uma variante .NET do malware de encriptação de ficheiros.
Os utilizadores e organizações que utilizam PHP são recomendados a actualizar as suas instalações para a versão mais recente para se protegerem contra ameaças activas.
“O tempo continuamente reduzido que os defensores têm para se protegerem após a divulgação de uma nova vulnerabilidade é mais um risco crítico de segurança,” disseram os investigadores. “Isto é especialmente verdade para esta vulnerabilidade do PHP devido à sua alta explorabilidade e rápida adopção por actores maliciosos.”
A divulgação ocorre quando a Cloudflare afirmou ter registado um aumento de 20% nos ataques DDoS ano a ano no segundo trimestre de 2024, e que mitigou 8,5 milhões de ataques DDoS nos primeiros seis meses. Em comparação, a empresa bloqueou 14 milhões de ataques DDoS durante todo o ano de 2023.
“No geral, o número de ataques DDoS no segundo trimestre diminuiu 11% trimestre a trimestre, mas aumentou 20% ano a ano,” disseram os investigadores Omer Yoachimik e Jorge Pacheco no relatório de ameaças DDoS para o segundo trimestre de 2024.
Além disso, botnets DDoS conhecidos representaram metade de todos os ataques DDoS HTTP. Agentes de utilizador falsos e navegadores sem interface (29%), atributos HTTP suspeitos (13%) e inundações genéricas (7%) foram outros vetores proeminentes de ataques DDoS HTTP.
O país mais atacado durante o período foi a China, seguida pela Turquia, Singapura, Hong Kong, Rússia, Brasil, Tailândia, Canadá, Taiwan e Quirguistão. Tecnologia da informação e serviços, telecomunicações, bens de consumo, educação, construção, e alimentos e bebidas emergiram como os principais sectores visados por ataques DDoS.
“A Argentina foi classificada como a maior fonte de ataques DDoS no segundo trimestre de 2024,” disseram os investigadores. “A Indonésia ficou em segundo lugar, seguida pelos Países Baixos em terceiro.”