Varios ciberdelincuentes están aprovechando una vulnerabilidad recientemente revelada en PHP para distribuir diferentes tipos de malware, incluyendo troyanos de acceso remoto, mineros de criptomonedas y botnets de denegación de servicio distribuido (DDoS).
La vulnerabilidad en cuestión es CVE-2024-4577 (puntuación CVSS: 9.8), que permite a un atacante ejecutar comandos maliciosos de forma remota en sistemas Windows que utilizan localidades de idioma chino y japonés. Fue revelada públicamente a principios de junio de 2024.
Según los investigadores de Akamai Kyle Lefton, Allen West y Sam Tinklenberg, «CVE-2024-4577 es una falla que permite a un atacante escapar de la línea de comandos y pasar argumentos para ser interpretados directamente por PHP. La vulnerabilidad radica en la forma en que los caracteres Unicode se convierten en ASCII.»
Akamai informó que observaron intentos de explotación contra servidores honeypot dirigidos al fallo de PHP dentro de las 24 horas posteriores a que se hiciera público. Estos intentos incluyeron la distribución de un troyano de acceso remoto llamado Gh0st RAT, mineros de criptomonedas como RedTail y XMRig, y un botnet DDoS llamado Muhstik.
Imperva también reveló que CVE-2024-4577 está siendo explotado por actores de ransomware TellYouThePass para distribuir una variante .NET del malware de cifrado de archivos.
Es crucial que los usuarios y organizaciones que usan PHP actualicen sus instalaciones a la última versión para protegerse contra estas amenazas activas.
El aumento de los ataques DDoS se ha convertido en una preocupación adicional, ya que Cloudflare informó de un incremento del 20% interanual en estos ataques en el segundo trimestre de 2024. La compañía mitigó 8,5 millones de ataques DDoS durante los primeros seis meses del año.
Los botnets DDoS representaron la mitad de todos los ataques, seguidos por agentes de usuario falsos y navegadores headless (29%), atributos HTTP sospechosos (13%) e inundaciones genéricas (7%).
Los sectores más atacados por los ataques DDoS incluyen tecnología de la información y servicios, telecomunicaciones, bienes de consumo, educación, construcción y alimentos y bebidas. China fue el país más atacado durante el período, seguido de Turquía, Singapur, Hong Kong, Rusia, Brasil, Tailandia, Canadá, Taiwán y Kirguistán. Además, Argentina fue identificada como la principal fuente de ataques DDoS durante el segundo trimestre de 2024, seguida por Indonesia y los Países Bajos.
Vía The Hacker News
