Vários agentes de ameaças foram observados explorando uma falha de segurança recentemente divulgada no PHP para entregar trojans de acesso remoto, mineradores de criptomoedas e botnets de DDoS (Distributed Denial-of-Service).
A vulnerabilidade em questão é a CVE-2024-4577 (pontuação CVSS: 9.8), que permite a um atacante executar comandos maliciosos remotamente em sistemas Windows que utilizam localidades de idioma chinês e japonês.
Foi divulgada publicamente no início de junho de 2024.
"A CVE-2024-4577 é uma falha que permite a um atacante escapar da linha de comando e passar argumentos para serem interpretados diretamente pelo PHP," disseram os pesquisadores da Akamai, Kyle Lefton, Allen West, e Sam Tinklenberg, em uma análise de quarta-feira(10).
A vulnerabilidade em si reside na forma como caracteres Unicode são convertidos em ASCII.
A empresa de infraestrutura web disse que começou a observar tentativas de exploração contra seus servidores honeypot visando a falha do PHP dentro de 24 horas após tornar-se conhecimento público.
Isso incluiu explorações projetadas para entregar um trojan de acesso remoto chamado Gh0st RAT, mineradores de criptomoedas como RedTail e XMRig, e uma botnet de DDoS chamada Muhstik.
"O atacante enviou uma solicitação similar às outras vistas em operações anteriores de RedTail, abusando da falha do hífen macio com '%ADd,' para executar uma solicitação wget para um script shell," explicaram os pesquisadores.
Este script faz uma solicitação de rede adicional ao mesmo endereço IP baseado na Rússia para recuperar uma versão x86 do malware de mineração de criptomoedas RedTail.
No mês passado, a Imperva também revelou que a CVE-2024-4577 está sendo explorada por atores de ransomware TellYouThePass para distribuir uma variante .NET do malware de criptografia de arquivos.
Usuários e organizações que dependem do PHP são recomendados a atualizar suas instalações para a versão mais recente para se protegerem de ameaças ativas.
"O tempo continuamente decrescente que os defensores têm para se proteger após uma nova divulgação de vulnerabilidade é mais um risco de segurança crítico," disseram os pesquisadores.
Isso é especialmente verdadeiro para esta vulnerabilidade do PHP devido à sua alta explorabilidade e rápida adoção por atores de ameaças.
A divulgação acontece enquanto a Cloudflare disse que registrou um aumento de 20% ano a ano em ataques de DDoS no segundo trimestre de 2024, e que mitigou 8.5 milhões de ataques de DDoS durante os primeiros seis meses.
Em comparação, a empresa bloqueou 14 milhões de ataques de DDoS durante todo o ano de 2023.
"No geral, o número de ataques de DDoS no segundo trimestre diminuiu 11% em relação ao trimestre anterior, mas aumentou 20% ano a ano," disseram os pesquisadores Omer Yoachimik e Jorge Pacheco no relatório de ameaças de DDoS do segundo trimestre de 2024.
Além disso, botnets de DDoS conhecidas foram responsáveis por metade de todos os ataques de DDoS HTTP.
Agentes de usuário falsos e navegadores headless (29%), atributos HTTP suspeitos (13%) e inundações genéricas (7%) foram os outros vetores de ataques de DDoS HTTP proeminentes.
O país mais atacado durante o período foi a China, seguido por Turquia, Singapura, Hong Kong, Rússia, Brasil, Tailândia, Canadá, Taiwan e Quirguistão.
Tecnologia da informação e serviços, telecomunicações, bens de consumo, educação, construção e alimentos e bebidas emergiram como os principais setores visados pelos ataques de DDoS.
"A Argentina foi classificada como a maior fonte de ataques de DDoS no segundo trimestre de 2024," disseram os pesquisadores.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...