Una recente vulnerabilità di sicurezza in PHP, identificata come CVE-2024-4577, sta venendo sfruttata da diversi attori malevoli per diffondere trojan di accesso remoto, miner di criptovalute e botnet per attacchi DDoS. La vulnerabilità, scoperta all’inizio di giugno 2024, permette a un attaccante di eseguire comandi malevoli da remoto su sistemi Windows che utilizzano i locali delle lingue cinese e giapponese.
CVE-2024-4577: rischio critico
CVE-2024-4577 ha un punteggio CVSS di 9.8, rendendola una delle vulnerabilità più critiche del 2024. Secondo i ricercatori di Akamai, Kyle Lefton, Allen West e Sam Tinklenberg, il difetto risiede nella conversione dei caratteri Unicode in ASCII, consentendo agli attaccanti di bypassare la linea di comando e passare argomenti interpretati direttamente da PHP.
Il giorno dopo la divulgazione pubblica, Akamai ha osservato tentativi di sfruttamento contro i suoi server honeypot. Gli exploit hanno diffuso trojan di accesso remoto come Gh0st RAT, miner di criptovalute come RedTail e XMRig, e la botnet DDoS Muhstik.
Modalità di attacco e difesa
Gli attaccanti hanno inviato richieste che sfruttano un difetto del carattere soft hyphen con ‘%ADd’ per eseguire una richiesta wget di uno script shell. Questo script, a sua volta, effettua una richiesta di rete a un indirizzo IP russo per recuperare una versione x86 del malware di mining RedTail.
Imperva ha anche rivelato che CVE-2024-4577 viene sfruttata dagli attori ransomware TellYouThePass per distribuire una variante .NET del malware che cripta i file. Gli utenti e le organizzazioni che utilizzano PHP sono fortemente consigliati di aggiornare le loro installazioni alla versione più recente per proteggersi dalle minacce attive.
Crescente frequenza degli attacchi DDoS
Nel secondo trimestre del 2024, Cloudflare ha registrato un aumento del 20% degli attacchi DDoS rispetto allo stesso periodo dell’anno precedente, mitigando 8.5 milioni di attacchi nei primi sei mesi del 2024. Sebbene il numero di attacchi DDoS nel secondo trimestre sia diminuito dell’11% rispetto al trimestre precedente, l’aumento anno su anno resta significativo.
I settori più bersagliati dagli attacchi DDoS sono stati la tecnologia dell’informazione e dei servizi, telecomunicazioni, beni di consumo, educazione, costruzioni e alimentare. Tra i paesi più colpiti figurano Cina, Turchia, Singapore, Hong Kong e Russia. Al contrario, Argentina, Indonesia e Paesi Bassi sono risultati i principali punti di origine degli attacchi DDoS nel secondo trimestre del 2024.
