O vulnerabilitate critică în PHP, identificată prin CVE-2024-4577, este exploatată activ de către atacatori cibernetici la doar câteva zile după dezvăluirea sa publică din iunie 2024.
Această vulnerabilitate afectează instalările PHP care rulează în modul CGI, în special pe sistemele Windows care utilizează limbile chineză și japoneză. Echipa de Răspuns la Incidente de Securitate din cadrul Akamai (SIRT) a detectat numeroase încercări de exploatare a acestei vulnerabilități în primele 24 de ore de la dezvăluire. Ușurința exploatării a condus la o adoptare rapidă de către diferiți actori malițioși.
Rezumat:
- O vulnerabilitate critică în PHP (CVE-2024-4577) este exploatată activ;
- Afectează instalările PHP în modul CGI, mai ales pe sistemele Windows;
- Akamai SIRT a observat numeroase încercări de exploatare în primele 24 de ore;
- Diverse campanii malware, inclusiv Gh0st RAT și RedTail Cryptominer, profită de această vulnerabilitate;
- Se recomandă aplicarea rapidă a patch-urilor și monitorizarea pentru indicatorii de compromitere (IOCs).
Despre Vulnerabilitate
CVE-2024-4577 este o vulnerabilitate critică în PHP care permite atacatorilor să execute cod de la distanță (Remote Code Execution - RCE) pe serverele afectate. Aceasta afectează în principal instalările PHP care rulează în modul CGI pe sistemele Windows, dar poate avea un impact mai larg.
„Unul dintre factorii în determinarea criticității este ușurința exploatării, iar aceasta este destul de simplu de executat pentru un atacator. Pentru un RCE, un atacator trebuie doar să trimită cod PHP către server și să fie interpretat greșit.” a declarat Akamai.
Campanii Malware
Gh0st RAT
Una dintre campaniile malware observate implică utilizarea Gh0st RAT, un instrument de acces de la distanță vechi de 15 ani. Acest malware a fost folosit în atacuri provenind de pe un server din Germania. Malware-ul se redenumește și se conectează la un server de comandă și control.
RedTail Cryptominer
O altă operațiune de criptomining, numită RedTail, a fost detectată exploatând vulnerabilitatea pentru a descărca și executa un script shell care instalează malware-ul de criptomining RedTail.
Muhstik Malware
Un alt atac a implicat descărcarea variantei Muhstik, care vizează dispozitivele IoT și serverele Linux pentru criptomining și atacuri DDoS.
XMRig
O campanie suplimentară a implicat XMRig, unde comenzi PowerShell au fost utilizate pentru a descărca și executa un script care activează minerul de criptomonede XMRig dintr-un pool de mining la distanță.
Recomandări de Mitigare
Akamai recomandă organizațiilor afectate să aplice patch-urile sistemelor lor rapid și să monitorizeze indicatorii de compromitere (IOCs). Cei care utilizează modul manual ar trebui să se asigure că grupul de reguli Command Injection Attack sau regulile specifice relevante sunt setate pe modul „Deny”. Akamai a observat o creștere a scanărilor pentru această vulnerabilitate și continuă să monitorizeze situația îndeaproape.
Concluzie
Este esențial ca toate organizațiile să rămână vigilente și să aplice rapid patch-urile necesare pentru a preveni exploatarea. Monitorizarea constantă și utilizarea instrumentelor de securitate adecvate pot ajuta la detectarea și prevenirea atacurilor cibernetice.
Sursa articolului:
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
