Diversi gruppi di cybercriminali stanno sfruttando una falla di sicurezza recentemente scoperta in PHP per diffondere Trojan di accesso remoto, miner di criptovaluta e botnet per attacchi DDoS (Distributed Denial-of-Service).
La vulnerabilità in questione
La vulnerabilità è identificata come CVE-2024-4577 (CVSS score: 9.8) e consente a un aggressore di eseguire da remoto comandi dannosi su sistemi Windows che utilizzano configurazioni linguistiche cinesi e giapponesi. È stata pubblicamente divulgata all’inizio di giugno 2024.
“CVE-2024-4577 è una falla che consente a un aggressore di aggirare la riga di comando e passare argomenti da interpretare direttamente da PHP”, hanno affermato mercoledì scorso in un’analisi i ricercatori di Akamai Kyle Lefton, Allen West e Sam Tinklenberg. “La vulnerabilità stessa deriva dal modo in cui i caratteri Unicode vengono convertiti in ASCII.”
Attacchi osservati
L’azienda di infrastruttura web Akamai ha affermato di aver iniziato a osservare tentativi di exploit contro i propri honeypot server che sfruttano la falla PHP entro 24 ore dalla sua divulgazione pubblica.
Questi exploit erano progettati per distribuire un Trojan RAT chiamato Gh0st RAT, miner di criptovalute come RedTail e XMRig e una botnet DDoS chiamata Muhstik.
“L’attaccante ha inviato una richiesta simile a quelle osservate in precedenti operazioni RedTail, sfruttando la falla del soft hyphen con ‘%ADd’ per eseguire una richiesta wget per uno script shell”, hanno spiegato i ricercatori. “Questo script esegue un’ulteriore richiesta di rete allo stesso indirizzo IP con sede in Russia per recuperare una versione x86 del malware di crypto-mining RedTail.”
Consigli per la sicurezza
Il mese scorso, Imperva ha rivelato che CVE-2024-4577 viene sfruttato dagli attori del ransomware TellYouThePass per distribuire una variante .NET del malware di crittografia dei file.
Si consiglia agli utenti e alle organizzazioni che utilizzano PHP di aggiornare le proprie installazioni all’ultima versione disponibile per proteggersi dalle minacce attive.
“Il lasso di tempo sempre più breve a disposizione dei team di sicurezza per proteggersi dopo la divulgazione di una nuova vulnerabilità è un altro fattore di rischio critico”, hanno affermato i ricercatori. “Questo è vero soprattutto per questa vulnerabilità PHP a causa della sua elevata sfruttabilità e della rapida adozione da parte degli attori delle minacce.”
Aumento degli attacchi DDoS
Questa notizia arriva mentre Cloudflare ha registrato un aumento del 20% su base annua degli attacchi DDoS nel secondo trimestre del 2024, mitigando 8,5 milioni di attacchi DDoS durante i primi sei mesi dell’anno. In confronto, l’azienda ha bloccato 14 milioni di attacchi DDoS per tutto il 2023.
“Nel complesso, il numero di attacchi DDoS nel secondo trimestre è diminuito dell’11% rispetto al trimestre precedente, ma è aumentato del 20% su base annua”, hanno affermato i ricercatori Omer Yoachimik e Jorge Pacheco nel report sulle minacce DDoS del secondo trimestre 2024.
Inoltre, le botnet DDoS note hanno rappresentato la metà di tutti gli attacchi DDoS HTTP. User agent falsi e browser headless (29%), attributi HTTP sospetti (13%) e attacchi generici (7%) sono stati gli altri vettori di attacco DDoS HTTP di rilievo.
Il paese maggiormente attaccato durante il periodo è stata la Cina, seguita da Turchia, Singapore, Hong Kong, Russia, Brasile, Thailandia, Canada, Taiwan e Kirghizistan. I settori IT e servizi, telecomunicazioni, beni di consumo, istruzione, costruzioni e alimentare sono emersi come i principali settori colpiti da attacchi DDoS.