Er zijn meerdere kwaadwillende partijen waargenomen die misbruik maken van een onlangs onthulde beveiligingsfout in PHP om trojans voor externe toegang, cryptovalutaminers en DDoS-botnets (Distributed Denial-of-Service) te verspreiden.
De kwetsbaarheid in kwestie is CVE-2024-4577 (CVSS-score: 9,8), waarmee een aanvaller op afstand kwaadaardige opdrachten kan uitvoeren op Windows-systemen met behulp van Chinese en Japanse taalinstellingen. Het werd begin juni 2024 openbaar gemaakt.
“CVE-2024-4577 is een fout die een aanvaller in staat stelt om de opdrachtregel te omzeilen en argumenten door te geven die direct door PHP worden geïnterpreteerd”, aldus Akamai-onderzoekers Kyle Lefton, Allen West en Sam Tinklenberg in een analyse op woensdag. “De kwetsbaarheid zelf ligt in de manier waarop Unicode-tekens worden omgezet in ASCII.”
Het webinfrastructuurbedrijf zei dat het binnen 24 uur nadat het lek publiekelijk bekend werd, begon met het waarnemen van exploitpogingen tegen zijn honeypot-servers die op het PHP-lek waren gericht.
Hieronder vallen exploits die zijn ontworpen om een trojan voor externe toegang genaamd Gh0st RAT, cryptocurrency-miners zoals RedTail en XMRig en een DDoS-botnet genaamd Muhstik te verspreiden.
“De aanvaller stuurde een verzoek dat vergelijkbaar was met de andere eerdere RedTail-bewerkingen, waarbij hij misbruik maakte van de soft hyphen-fout met ‘%ADd’, om een wget-verzoek uit te voeren voor een shell-script,” legden de onderzoekers uit. “Dit script doet een extra netwerkverzoek naar hetzelfde Russische IP-adres om een x86-versie van de RedTail-cryptominingmalware op te halen.”
Vorige maand maakte Imperva ook bekend dat TellYouThePass-ransomware-actoren misbruik maken van CVE-2024-4577 om een .NET-variant van de malware voor het versleutelen van bestanden te verspreiden.
Gebruikers en organisaties die afhankelijk zijn van PHP, wordt aangeraden hun installaties bij te werken naar de nieuwste versie om zichzelf te beschermen tegen actieve bedreigingen.
“De steeds kortere tijd die verdedigers hebben om zichzelf te beschermen na een nieuwe kwetsbaarheidsonthulling is nog een ander kritiek beveiligingsrisico”, aldus de onderzoekers. “Dit geldt met name voor deze PHP-kwetsbaarheid vanwege de hoge mate van exploiteerbaarheid en snelle adoptie door dreigingsactoren.”
De onthulling komt nadat Cloudflare zei dat het een jaar-op-jaar stijging van 20% in DDoS-aanvallen registreerde in het tweede kwartaal van 2024, en dat het 8,5 miljoen DDoS-aanvallen in de eerste zes maanden heeft gemitigeerd. Ter vergelijking: het bedrijf blokkeerde 14 miljoen DDoS-aanvallen in heel 2023.
“Over het geheel genomen daalde het aantal DDoS-aanvallen in het tweede kwartaal met 11% ten opzichte van het vorige kwartaal, maar steeg het met 20% op jaarbasis”, aldus onderzoekers Omer Yoachimik en Jorge Pacheco in het DDoS-dreigingsrapport voor het tweede kwartaal van 2024.
Het meest aangevallen land in die periode was China, gevolgd door Turkije, Singapore, Hong Kong, Rusland, Brazilië, Thailand, Canada, Taiwan en Kirgizië. Informatietechnologie en -diensten, telecom, consumptiegoederen, onderwijs, bouw en voedsel kwamen naar voren als de sectoren die het vaakst het doelwit waren van DDoS-aanvallen.
“Argentinië werd in het tweede kwartaal van 2024 gerangschikt als de grootste bron van DDoS-aanvallen”, aldus de onderzoekers. “Indonesië volgde op de tweede plaats, gevolgd door Nederland op de derde plaats.”