Plusieurs acteurs malveillants ont été observés exploitant une faille de sécurité récemment révélée dans PHP pour diffuser des chevaux de Troie d’accès à distance, des mineurs de crypto-monnaie et des botnets de déni de service distribué (DDoS).
La vulnérabilité en question est CVE-2024-4577 (score CVSS : 9,8), qui permet à un attaquant d’exécuter à distance des commandes malveillantes sur des systèmes Windows utilisant des paramètres régionaux chinois et japonais. Elle a été rendue publique début juin 2024.
« CVE-2024-4577 est une faille qui permet à un attaquant d’échapper à la ligne de commande et de transmettre des arguments à interpréter directement par PHP », ont déclaré les chercheurs d’Akamai Kyle Lefton, Allen West et Sam Tinklenberg. dit dans une analyse publiée mercredi. « La vulnérabilité elle-même réside dans la manière dont les caractères Unicode sont convertis en ASCII. »
La société d’infrastructure Web a déclaré avoir commencé à observer des tentatives d’exploitation contre ses serveurs honeypot ciblant la faille PHP dans les 24 heures suivant sa publication.
Cela incluait des exploits conçus pour fournir un cheval de Troie d’accès à distance appelé Gh0st RAT, des mineurs de crypto-monnaie comme RedTail et XMRig, et un botnet DDoS nommé Muhstik.
« L’attaquant a envoyé une requête similaire à celles observées lors des précédentes opérations RedTail, en exploitant la faille du trait d’union souple avec ‘%ADd’, pour exécuter une requête wget pour un script shell », ont expliqué les chercheurs. « Ce script effectue une requête réseau supplémentaire vers la même adresse IP basée en Russie pour récupérer une version x86 du malware de crypto-minage RedTail. »
Le mois dernier, Imperva a également révélé que CVE-2024-4577 était exploité par les acteurs du ransomware TellYouThePass pour distribuer une variante .NET du malware de cryptage de fichiers.
Il est recommandé aux utilisateurs et aux organisations qui s’appuient sur PHP de mettre à jour leurs installations vers la dernière version pour se protéger contre les menaces actives.
« Le temps de plus en plus court dont disposent les défenseurs pour se protéger après la divulgation d’une nouvelle vulnérabilité constitue un autre risque critique pour la sécurité », ont déclaré les chercheurs. « Cela est particulièrement vrai pour cette vulnérabilité PHP en raison de sa grande exploitabilité et de sa rapidité d’adoption par les acteurs malveillants. »
Cette révélation intervient alors que Cloudflare a déclaré avoir enregistré une augmentation de 20 % des attaques DDoS d’une année sur l’autre au deuxième trimestre 2024, et avoir atténué 8,5 millions d’attaques DDoS au cours des six premiers mois. En comparaison, la société a bloqué 14 millions d’attaques DDoS sur l’ensemble de l’année 2023.
« Dans l’ensemble, le nombre d’attaques DDoS au deuxième trimestre a diminué de 11 % par rapport au trimestre précédent, mais a augmenté de 20 % par rapport à l’année précédente », ont déclaré les chercheurs Omer Yoachimik et Jorge Pacheco. dit dans le rapport sur les menaces DDoS pour le deuxième trimestre 2024.
Le pays le plus attaqué au cours de cette période est la Chine, suivie de la Turquie, de Singapour, de Hong Kong, de la Russie, du Brésil, de la Thaïlande, du Canada, de Taïwan et du Kirghizistan. Les secteurs les plus touchés par les attaques DDoS sont les technologies de l’information et des services, les télécommunications, les biens de consommation, l’éducation, la construction et l’alimentation.
« L’Argentine a été classée comme la plus grande source d’attaques DDoS au deuxième trimestre 2024 », ont déclaré les chercheurs. « L’Indonésie suit de près en deuxième position, suivie des Pays-Bas en troisième position. »