Максимально критическая уязвимость в языке PHP открывает двери для майнеров и ботнетов

, Мск

Киберпреступники активно используют недавно выявленную в языке PHP уязвимость CVE-2024-4577. Единственное условие – наличие в системе японских или китайских региональных настроек пользовательского интерфейса.

Минимальные ограничения

Множественные группировки злоумышленников принялись активно эксплуатировать недавно выявленную уязвимость в языке PHP для распространения троянцев, криптомайнеров и расширения DDoS-ботнетов.

Подробности об уязвимости были раскрыты в июне 2024 г.: CVE-2024-4577 позволяет злоумышленникам удаленно запускать вредоносные команды в системах под Windows при условии, что в них используются японо- и китаеязычные локали, то есть наборы параметров, определяющий региональные настройки пользовательского интерфейса, такие как язык, страна, часовой пояс и т.п. «Баг» получил оценку угрозы 9,8 балла по десятибалльной шкале CVSS.

Как отметили в своей публикации эксперты компании Akamai, CVE-2024-4577 позволяет злоумышленникам выходить за пределы командной строки и перенаправлять аргументы непосредственно интерпретатору PHP. Проблема связана с тем, как символы Unicode конвертируются в ASCII.

Изображение от freepik

Выявленная уязвимость в языке PHP используется для распространения троянцев, криптомайнеров и расширения DDoS-ботнетов

Эксперты также рассказали, что первые попытки атаковать уязвимость были отмечены в «ловушках» (honeypot) Akamai уже через 24 часа после раскрытия информации об CVE-2024-4577.

Различные злоумышленники предпринимали попытки установить троянец удаленного доступа Gh0st RAT, криптомайнеры RedTail и XMRig, а также вредоносный модуль ботнета Muhstik.

В июне эксперты компании Imperva отметили, что CVE-2024-4577 используется шифровальной группировкой TellYouThePass для распространения .NET-варианта своего шифровальщика.

Исправления доступны и необходимы

Уязвимость присутствует в версиях PHP 8.1.*, 8.2.* и 8.3.*. Исправления уже выпущены, и безопасными считаются версии с индексами 8.1.29, 8.2.20 и 8.3.8.

Специалисты Akamai отметили, что эксплуатация уязвимости «невероятно» проста.

«Простота в эксплуатации, широчайшая распространенность PHP и практически максимальный балл по шкале CVSS – все эти показатели можно смело умножать друг на друга, и это будет адекватная оценка угрозы от данного бага, – считает Никита Павлов, эксперт по информационной безопасности компании SEQ. – К счастью, обновления доступны и тем, кто их еще не установил, следует поторопиться, чтобы не рисковать своими данными».

Эксперт добавил, что особое внимание следует уделить серверам и другим оконечным устройствам, которые могут быть интегрированы в ботнеты: в последние месяцы интенсивность DDoS-атак ставит рекорд за рекордом.

Специалисты Akamai рекомендуют, помимо установки обновлений, пристально мониторить признаки компрометации.