Gh0st RAT, RedTail, XMRig: какие ещё угрозы могут проникнуть на ваш компьютер из-за уязвимости в PHP
Исследователи Akamai рассказали, с чем столкнулись их серверы после старта эксплуатации CVE-2024-4577.
Недавно выявленная уязвимость в PHP стала мишенью сразу для нескольких злоумышленников, которые используют её для доставки троянов удалённого доступа, майнеров криптовалют и ботнетов для DDoS-атак.
RCE-уязвимость CVE-2024-4577, оцененная в 9.8 баллов по шкале CVSS, позволяет атакующим удалённо выполнять вредоносные команды на системах Windows с китайской и японской локализацией. Об этой проблеме впервые стало известно в начале июня 2024 года.
Исследователи из Akamai, Кайл Лефтон, Аллен Вест и Сэм Тинкленберг, в своём недавнем отчёте отметили, что эта уязвимость позволяет злоумышленникам обойти командную строку и передавать аргументы, которые интерпретируются непосредственно PHP. Проблема заключается в преобразовании символов Unicode в ASCII.
Эксперты сообщили, что попытки эксплуатации этой уязвимости были замечены на их Honeypot-серверах в течение 24 часов после публичного раскрытия. Среди выявленных атак — доставка трояна удалённого доступа Gh0st RAT, криптомайнеров RedTail и XMRig, а также DDoS-ботнета под названием Muhstik.
Специалисты Akamai также пояснили, что атакующий отправил запрос, аналогичный ранее замеченным операциям RedTail, используя уязвимость с мягким дефисом для выполнения команды wget, скачивающей shell-скрипт. Этот скрипт затем делал дополнительный сетевой запрос для получения x86 версии криптомайнера RedTail.
В прошлом месяце компания Imperva также сообщила, что уязвимость CVE-2024-4577 используется злоумышленниками для распространения вымогателя TellYouThePass в виде .NET-версии шифровальщика. Пользователям и организациям, использующим PHP, рекомендуется обновить свои установки до последней версии для защиты от активных угроз.
Исследователи отдельно отметили, что сокращающееся время, которое остаётся у защитников после раскрытия новых уязвимостей, представляет серьёзную угрозу безопасности. Это особенно актуально для данной уязвимости в PHP из-за её высокой эксплуатируемости и быстрого освоения злоумышленниками.