(https://i.postimg.cc/kXF829RT/PHP.png) (https://postimg.cc/mtkhnvw9)
El Equipo de Respuesta de Inteligencia de Seguridad (SIRT) de Akamai advierte que múltiples actores de amenazas están explotando la vulnerabilidad PHP CVE-2024-4577 para entregar múltiples familias de malware, incluidos Gh0st RAT, criptomineros RedTail y XMRig.
"Los actores de amenazas continuaron con la tendencia de acelerar el tiempo desde la divulgación hasta la explotación y aprovecharon rápidamente esta nueva vulnerabilidad: observamos intentos de explotación dirigidos a esta falla de PHP en nuestra red honeypot dentro de las 24 horas posteriores a su divulgación". informó Akamai.
La falla CVE-2024-4577 ( puntuación CVSS: 9,8 ) es una vulnerabilidad de inyección de comandos del sistema operativo PHP-CGI. El problema reside en la función Best-Fit de conversión de codificación dentro del sistema operativo Windows.
Un atacante puede aprovechar la falla para eludir las protecciones de una vulnerabilidad anterior, CVE-2012-1823, utilizando secuencias de caracteres específicas. En consecuencia, se puede ejecutar código arbitrario en servidores PHP remotos mediante un ataque de inyección de argumentos, lo que permite a los atacantes tomar el control de servidores vulnerables.
Desde la divulgación de la vulnerabilidad y la disponibilidad pública de un código de explotación PoC, múltiples actores están intentando explotarlo, informaron los investigadores de Shadowserver y GreyNoise.
En junio, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó la vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV).
Los investigadores de Greynoise también informaron sobre intentos maliciosos de explotación del CVE-2024-4577.
"Al momento de escribir este artículo, se ha verificado que cuando Windows se ejecuta en las siguientes configuraciones regionales, un atacante no autorizado puede ejecutar directamente código arbitrario en el servidor remoto:
Chino tradicional (página de códigos 950)
Chino simplificado (página de códigos 936)
Japonés (página de códigos 932)
Para Windows que se ejecuta en otros idiomas, como inglés, coreano y Europa occidental, debido a la amplia gama de escenarios de uso de PHP, actualmente no es posible enumerar y eliminar por completo todos los posibles escenarios de explotación". continúa el aviso. "Por lo tanto, se recomienda que los usuarios realicen una evaluación integral de sus activos, verifiquen sus escenarios de uso y actualicen PHP a la última versión para garantizar la seguridad".
Los investigadores de Akamai también observaron que los actores de amenazas detrás de la botnet DDoS Muhstik explotaban esta vulnerabilidad.
El script de shell de la botnet descarga un archivo ELF llamado "pty3" desde una dirección IP diferente, probablemente una muestra de malware Muhstik. El malware fue diseñado para apuntar a dispositivos de Internet de las cosas (IoT) y servidores Linux con fines de criptominería y DDoS. El bot también se conecta al dominio de comando y control p.findmeatthe[.]top, que se observó en las actividades de la botnet Muhstik, y se comunica a través de Internet Relay Chat.
Los investigadores también observaron una campaña que abusaba del exploit para entregar el XMR Rig. Los atacantes inyectaron un comando que se basa en un script de PowerShell para descargar y ejecutar un script para activar XMRig desde un grupo de minería remoto. El script también limpia los archivos temporales para ofuscarlos.
"Entre el uso de varias herramientas de automatización y la falta de supervisión corporativa, los atacantes están preparados para tener éxito. El tiempo cada vez menor que tienen los defensores para protegerse después de la divulgación de una nueva vulnerabilidad es otro riesgo de seguridad crítico". concluye el informe. "Esto es especialmente cierto para esta vulnerabilidad de PHP debido a su alta explotabilidad y rápida adopción por parte de los actores de amenazas".
Fuente:
SecurityAffairs
https://securityaffairs.com/165586/hacking/php-flaw-cve-2024-4577-actively-exploited.html