Vários agentes de ameaças foram observados explorando uma falha de segurança recentemente divulgada no PHP para distribuir trojans de acesso remoto, mineradores de criptomoedas e botnets de negação de serviço distribuída (DDoS).
A vulnerabilidade em questão é CVE-2024-4577 (pontuação CVSS: 9,8), que permite que um invasor execute remotamente comandos maliciosos em sistemas Home windows usando localidades de idioma chinês e japonês. Foi divulgado publicamente no início de junho de 2024.
“CVE-2024-4577 é uma falha que permite que um invasor escape da linha de comando e passe argumentos para serem interpretados diretamente pelo PHP”, disseram os pesquisadores da Akamai Kyle Lefton, Allen West e Sam Tinklenberg em uma análise na quarta-feira. “A vulnerabilidade em si está em como os caracteres Unicode são convertidos em ASCII.”
A empresa de infraestrutura da internet disse que começou a observar tentativas de exploração contra seus servidores honeypot visando a falha do PHP dentro de 24 horas após ela se tornar de conhecimento público.
Isso incluía exploits projetados para entregar um trojan de acesso remoto chamado Gh0st RAT, mineradores de criptomoedas como RedTail e XMRig, e uma botnet DDoS chamada Muhstik.
“O invasor enviou uma solicitação semelhante às outras vistas em operações anteriores do RedTail, abusando da falha do hífen suave com '%ADd', para executar uma solicitação wget para um script de shell”, explicaram os pesquisadores. “Este script faz uma solicitação de rede adicional para o mesmo endereço IP baseado na Rússia para recuperar uma versão x86 do malware de criptomineração do RedTail.”
No mês passado, a Imperva também revelou que o CVE-2024-4577 está sendo explorado por agentes do ransomware TellYouThePass para distribuir uma variante .NET do malware de criptografia de arquivos.
Recomenda-se que usuários e organizações que dependem do PHP atualizem suas instalações para a versão mais recente para se protegerem contra ameaças ativas.
“O tempo cada vez menor que os defensores têm para se proteger após a divulgação de uma nova vulnerabilidade é outro risco crítico de segurança”, disseram os pesquisadores. “Isso é especialmente verdadeiro para essa vulnerabilidade do PHP devido à sua alta explorabilidade e rápida adoção por agentes de ameaças.”
A divulgação ocorre no momento em que a Cloudflare disse que registrou um aumento de 20% em ataques DDoS ano a ano no segundo trimestre de 2024 e que mitigou 8,5 milhões de ataques DDoS durante os primeiros seis meses. Em comparação, a empresa bloqueou 14 milhões de ataques DDoS durante todo o ano de 2023.
“No geral, o número de ataques DDoS no segundo trimestre diminuiu 11% em relação ao trimestre anterior, mas aumentou 20% em relação ao ano anterior”, disseram os pesquisadores Omer Yoachimik e Jorge Pacheco no relatório de ameaças DDoS do segundo trimestre de 2024.
O país mais atacado durante o período foi a China, seguido pela Turquia, Cingapura, Hong Kong, Rússia, Brasil, Tailândia, Canadá, Taiwan e Quirguistão. Tecnologia da informação e serviços, telecomunicações, bens de consumo, educação, construção e alimentos surgiram como os principais setores alvos de ataques DDoS.
“A Argentina foi classificada como a maior fonte de ataques DDoS no segundo trimestre de 2024”, disseram os pesquisadores. “A Indonésia veio emblem em segundo lugar, seguida pela Holanda em terceiro.”
