La explotación de la vulnerabilidad PHP CVE-2024-4577 provoca importantes ataques de malware y DDoS

En un acontecimiento preocupante, múltiples actores de amenazas cibernéticas han estado explotando activamente una vulnerabilidad de seguridad recientemente revelada en PHP, designada como CVE-2024-4577 . Esta falla crítica, con una puntuación CVSS de 9,8, permite a los atacantes ejecutar de forma remota comandos maliciosos en sistemas Windows que utilizan configuraciones regionales en chino y japonés. La vulnerabilidad, revelada públicamente a principios de junio de 2024, ha provocado un aumento significativo en la distribución de malware y ataques DDoS.

Los investigadores de Akamai, Kyle Lefton, Allen West y Sam Tinklenberg explicaron en su análisis que CVE-2024-4577 permite a los atacantes omitir la línea de comando e interpretar directamente argumentos en PHP debido a problemas con la conversión de Unicode a ASCII. Esta falla ha sido rápidamente explotada por los atacantes, como lo demuestran los servidores honeypot que detectan intentos de explotación dentro de las 24 horas posteriores a la divulgación pública de la vulnerabilidad.

Estos intentos de explotación incluyen la entrega de una variedad de cargas maliciosas, como el troyano de acceso remoto Gh0st RAT, mineros de criptomonedas como RedTail y XMRig, y la botnet Muhstik DDoS. Se ha observado que los atacantes utilizan un error de guión suave para ejecutar una solicitud wget para un script de shell, que luego recupera e instala el malware de criptominería RedTail desde una dirección IP con sede en Rusia.

Para aumentar la preocupación, Imperva informó el mes pasado que la misma vulnerabilidad está siendo explotada por actores que distribuyen una variante .NET del ransomware TellYouThePass . Esto pone de relieve la amplia adopción del exploit por parte de varios grupos de ciberdelincuentes.

Se recomienda encarecidamente a las organizaciones que utilizan PHP que actualicen sus instalaciones a la última versión para protegerse contra estas amenazas activas. La rápida explotación de esta vulnerabilidad pone de relieve la ventana cada vez más reducida que tienen los defensores para actuar tras la divulgación de una nueva vulnerabilidad.

En noticias relacionadas, Cloudflare informó un aumento del 20% en los ataques DDoS en el segundo trimestre de 2024 en comparación con el mismo período del año pasado. La empresa mitigó 8,5 millones de ataques DDoS solo en la primera mitad de 2024. Si bien el número total de ataques DDoS en el segundo trimestre disminuyó un 11% respecto al trimestre anterior, el aumento año tras año sigue siendo una preocupación importante.

La mitad de todos los ataques HTTP DDoS durante este período se atribuyeron a conocidas botnets DDoS, con otros vectores de ataque que incluyen agentes de usuario falsos, navegadores sin cabeza, atributos HTTP sospechosos e inundaciones genéricas. Los países más afectados fueron China, Turquía y Singapur, mientras que los sectores de TI y servicios, telecomunicaciones y bienes de consumo fueron las principales víctimas.

Argentina surgió como la mayor fuente de ataques DDoS en el segundo trimestre de 2024, seguida de Indonesia y los Países Bajos. Este panorama de amenazas en evolución subraya la necesidad de medidas de seguridad sólidas y actualizadas para protegerse contra la creciente sofisticación y frecuencia de los ciberataques.