Nhiều tác nhân đe dọa đã được quan sát thấy khai thác một lỗ hổng bảo mật được tiết lộ gần đây trong PHP để cung cấp trojan truy cập từ xa, thợ đào tiền điện tử và botnet từ chối dịch vụ phân tán (DDoS).
Lỗ hổng được đề cập là CVE-2024-4577 (điểm CVSS: 9.8), cho phép kẻ tấn công thực hiện từ xa các lệnh độc hại trên các hệ thống Windows bằng ngôn ngữ tiếng Trung và tiếng Nhật. Nó được tiết lộ công khai vào đầu tháng 6/2024.
"CVE-2024-4577 là một lỗ hổng cho phép kẻ tấn công thoát khỏi dòng lệnh và chuyển các đối số được PHP giải thích trực tiếp", các nhà nghiên cứu Kyle Lefton, Allen West và Sam Tinklenberg của Akamai cho biết trong một phân tích hôm thứ Tư. "Bản thân lỗ hổng nằm ở cách các ký tự Unicode được chuyển đổi thành ASCII."
Công ty cơ sở hạ tầng web cho biết họ bắt đầu quan sát các nỗ lực khai thác chống lại các máy chủ honeypot của mình nhắm vào lỗ hổng PHP trong vòng 24 giờ kể từ khi nó được công khai.
Điều này bao gồm các khai thác được thiết kế để cung cấp một trojan truy cập từ xa được gọi là Gh0st RAT, các công cụ khai thác tiền điện tử như RedTail và XMRig và một botnet DDoS có tên Muhstik.
Tháng trước, Imperva cũng tiết lộ rằng CVE-2024-4577 đang bị các tác nhân ransomware TellYouThePass khai thác để phân phối một biến thể .NET của phần mềm độc hại mã hóa tệp.
Người dùng và tổ chức dựa vào PHP được khuyến nghị cập nhật cài đặt của họ lên phiên bản mới nhất để bảo vệ chống lại các mối đe dọa đang hoạt động.
Tiết lộ được đưa ra khi Cloudflare cho biết họ đã ghi nhận mức tăng 20% so với cùng kỳ năm ngoái trong các cuộc tấn công DDoS trong quý II năm 2024 và đã giảm thiểu 8,5 triệu cuộc tấn công DDoS trong sáu tháng đầu tiên. Trong khi đó, công ty đã chặn 14 triệu cuộc tấn công DDoS trong cả năm 2023.
"Nhìn chung, số lượng các cuộc tấn công DDoS trong quý 2 giảm 11% so với quý trước, nhưng tăng 20% so với cùng kỳ năm ngoái", các nhà nghiên cứu Omer Yoachimik và Jorge Pacheco cho biết trong báo cáo mối đe dọa DDoS cho quý 2 năm 2024.
Hơn nữa, các botnet DDoS đã biết chiếm một nửa số cuộc tấn công DDoS HTTP. Tác nhân người dùng giả mạo và trình duyệt không đầu (29%), thuộc tính HTTP đáng ngờ (13%) và lũ lụt chung (7%) là các vectơ tấn công DDoS HTTP nổi bật khác.
Quốc gia bị tấn công nhiều nhất trong khoảng thời gian này là Trung Quốc, tiếp theo là Thổ Nhĩ Kỳ, Singapore, Hồng Kông, Nga, Brazil, Thái Lan, Canada, Đài Loan và Kyrgyztan. Công nghệ thông tin và dịch vụ, viễn thông, hàng tiêu dùng, giáo dục, xây dựng và thực phẩm và đồ uống nổi lên như những lĩnh vực hàng đầu bị nhắm mục tiêu bởi các cuộc tấn công DDoS.
"Argentina được xếp hạng là nguồn tấn công DDoS lớn nhất trong quý II/2024", các nhà nghiên cứu cho biết. Indonesia theo sát ở vị trí thứ hai, tiếp theo là Hà Lan ở vị trí thứ ba".