Минимальные ограничения
Множественные группировки злоумышленников принялись активно эксплуатировать недавно выявленную уязвимость в языке PHP для распространения троянцев, криптомайнеров и расширения DDoS-ботнетов.
Подробности об уязвимости были раскрыты в июне 2024 г.: CVE-2024-4577 позволяет злоумышленникам удаленно запускать вредоносные команды в системах под Windows при условии, что в них используются японо- и китаеязычные локали, то есть наборы параметров, определяющий региональные настройки пользовательского интерфейса, такие как язык, страна, часовой пояс и т.п. «Баг» получил оценку угрозы 9,8 балла по десятибалльной шкале CVSS.
Как отметили в своей публикации эксперты компании Akamai, CVE-2024-4577 позволяет злоумышленникам выходить за пределы командной строки и перенаправлять аргументы непосредственно интерпретатору PHP. Проблема связана с тем, как символы Unicode конвертируются в ASCII.
Эксперты также рассказали, что первые попытки атаковать уязвимость были отмечены в «ловушках» (honeypot) Akamai уже через 24 часа после раскрытия информации об CVE-2024-4577.
Различные злоумышленники предпринимали попытки установить троянец удаленного доступа Gh0st RAT, криптомайнеры RedTail и XMRig, а также вредоносный модуль ботнета Muhstik.
В июне эксперты компании Imperva отметили, что CVE-2024-4577 используется шифровальной группировкой TellYouThePass для распространения .NET-варианта своего шифровальщика.
Исправления доступны и необходимы
Уязвимость присутствует в версиях PHP 8.1.*, 8.2.* и 8.3.*. Исправления уже выпущены, и безопасными считаются версии с индексами 8.1.29, 8.2.20 и 8.3.8.
Специалисты Akamai отметили, что эксплуатация уязвимости «невероятно» проста.
«Простота в эксплуатации, широчайшая распространенность PHP и практически максимальный балл по шкале CVSS – все эти показатели можно смело умножать друг на друга, и это будет адекватная оценка угрозы от данного бага, – считает Никита Павлов, эксперт по информационной безопасности компании SEQ. – К счастью, обновления доступны и тем, кто их еще не установил, следует поторопиться, чтобы не рисковать своими данными».
Эксперт добавил, что особое внимание следует уделить серверам и другим оконечным устройствам, которые могут быть интегрированы в ботнеты: в последние месяцы интенсивность DDoS-атак ставит рекорд за рекордом.
Специалисты Akamai рекомендуют, помимо установки обновлений, пристально мониторить признаки компрометации.