Recentemente, diversos hackers foram identificados explorando uma vulnerabilidade de segurança no PHP, recém-divulgada, para espalhar cavalos de Troia, mineradores de criptomoedas e botnets de negação de serviço (DDoS).
A vulnerabilidade, identificada como CVE-2024-4577, recebeu uma pontuação de 9,8 no CVSS, destacando sua gravidade. Ela permite que hackers executem comandos maliciosos remotamente em sistemas Windows com configurações de idioma em chinês e japonês. Esta falha foi tornada pública no início de junho de 2024.
"A CVE-2024-4577 possibilita que um invasor escape da linha de comando e passe argumentos diretamente interpretados pelo PHP", explicaram os pesquisadores da Akamai, Kyle Lefton, Allen West e Sam Tinklenberg, em uma análise publicada na quarta-feira. "O problema reside na conversão de caracteres Unicode para ASCII."
A Akamai informou que detectou tentativas de exploração contra seus servidores honeypot direcionadas a esta vulnerabilidade dentro de 24 horas após sua divulgação. Essas tentativas incluíram a entrega de trojans de acesso remoto, como o Gh0st RAT, mineradores de criptomoedas, como RedTail e XMRig, e o botnet DDoS Muhstik.
"Os hackers enviaram solicitações semelhantes às operações anteriores do RedTail, utilizando a falha de hífen suave com '%ADd' para executar um wget que baixava um script de shell", detalharam os pesquisadores. "Esse script, por sua vez, fazia outra solicitação de rede ao mesmo endereço IP baseado na Rússia para obter uma versão x86 do malware de mineração RedTail."
No mês passado, a Imperva também relatou que a CVE-2024-4577 foi explorada pelos grupo de ransomware TellYouThePass para distribuir uma variante .NET do malware de criptografia de arquivos.
É altamente recomendado que usuários e organizações que utilizam PHP atualizem suas instalações para a versão mais recente, a fim de se protegerem contra essas ameaças ativas.
"A janela de tempo cada vez menor que os analistas de segurança têm para reagir após a divulgação de uma nova vulnerabilidade é um risco crítico à segurança", alertaram os pesquisadores. "Isso é especialmente verdadeiro para essa vulnerabilidade do PHP, devido à sua alta capacidade de exploração e rápida adoção por hackers."
Essa divulgação ocorre no momento em que a Cloudflare relatou um aumento de 20% nos ataques DDoS no segundo trimestre de 2024 em comparação ao ano anterior, mitigando 8,5 milhões de ataques nos primeiros seis meses do ano. Em 2023, a empresa bloqueou 14 milhões de ataques DDoS ao longo do ano.
"No geral, o número de ataques DDoS no segundo trimestre diminuiu 11% em relação ao trimestre anterior, mas aumentou 20% em relação ao ano anterior", afirmaram os pesquisadores Omer Yoachimik e Jorge Pacheco no relatório de ameaças DDoS do segundo trimestre de 2024.
Além disso, botnets de DDoS conhecidos foram responsáveis por metade de todos os ataques HTTP DDoS. Outros vetores proeminentes incluíram Fake user agents e headless browsers (29%), atributos HTTP suspeitos (13%) e generic floods (7%).
Os países mais atacados no período foram China, Turquia, Singapura, Hong Kong, Rússia, Brasil, Tailândia, Canadá, Taiwan e Quirguistão. Setores como tecnologia da informação e serviços, telecomunicações, bens de consumo, educação, construção e alimentos e bebidas foram os principais alvos dos ataques DDoS.
"A Argentina foi classificada como a maior fonte de ataques DDoS no segundo trimestre de 2024", concluíram os pesquisadores. "A Indonésia seguiu de perto em segundo lugar, com a Holanda em terceiro."
Via - THN
Comments