ClickCease PHP-Schwachstelle: Exploits führen zu Malware und DDoS-Attacken - TuxCare

Inhaltsübersicht

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

PHP-Schwachstelle wird für Malware und DDOS-Angriffe genutzt

Wajahat Raja

25. Juli 2024. TuxCare-Expertenteam

Die Cyberkriminalität hat in letzter Zeit mehrere Bedrohungsakteure gesehen, die eine bekannte PHP-Schwachstelle ausnutzen. Jüngsten Medienberichten zufolge wird die Schwachstelle ausgenutzt, um Krypto-Miner, Distributed-Denial-of-Service-Botnets (DDoS) und Remote-Access-Trojaner einzuschleusen. In diesem Artikel erfahren wir mehr über die Ausnutzung der PHP-Schwachstelle und was man dagegen tun kann.

Die PHP-Sicherheitslücke CVE-2024-4577

Die PHP-Sicherheitslücke wird derzeit unter der Bezeichnung CVE-2024-4577 geführt. Derzeit hat die Schwachstelle einen CVSS-Wert (Critical Vulnerability Severity Score) von 9,8, was sie zu einer ernsthaften Bedrohung für Unternehmen und Einzelpersonen macht.

Wenn ein Bedrohungsakteur diese PHP-Schwachstelle ausnutzt, kann er aus der Ferne bösartige Befehle auf Windows-Systemen ausführen. Berichten zufolge sind die für die Ausführungen verwendeten Sprachumgebungen Japanisch und Chinesisch.

Es ist erwähnenswert, dass diese PHP-Sicherheitslücke erstmals im Juni 2024 entdeckt wurde. Cybersecurity-Forscher von Akamai, die Einblicke in die PHP-Sicherheitslücke geben, haben erklärt, dass:

"CVE-2024-4577 ist eine Schwachstelle, die es einem Angreifer ermöglicht, die Befehlszeile zu umgehen und Argumente zu übergeben, die direkt von PHP interpretiert werden. Die Forscher haben hinzugefügt, dass "die Schwachstelle selbst liegt in der Art und Weise, wie Unicode-Zeichen in ASCII umgewandelt werden."

Anfängliche Entdeckungs- und Entschärfungsprotokolle

Nach den vorliegenden Informationen hat das Webinfrastrukturunternehmen erklärt, dass es begann, die Angriffe auf seine Honeypot-Server zu beobachten. Diese Versuche zielten darauf ab, die Schwachstelle auszunutzen und fanden innerhalb von 24 Stunden nach Bekanntwerden der PHP-Schwachstelle statt.

Darüber hinaus beinhalteten die Versuche die Auslieferung eines Fernzugriffstrojaners namens Gh0st RAT, der von Krypto-Minern wie RedTail und XMRig und einem DDoS-Botnetz namens Muhstik begleitet wurde. Die Cybersecurity-Forscher gaben weitere Einblicke in die Angriffe und erklärten, dass:

"Der Angreifer schickte eine ähnliche Anfrage wie bei früheren RedTail-Operationen und missbrauchte die Schwachstelle des weichen Bindestrichs mit '%ADd', um eine wget-Anfrage für ein Shell-Skript auszuführen.

Die Forscher erklärten weiter, dass das Skript dazu verwendet wird, eine zusätzliche Netzwerkanfrage an dieselbe in Russland ansässige IP-Adresse zu stellen, um eine x86-Version der Krypto-Mining-Malware RedTail abzurufen.

Imperva, ein weiteres Cybersicherheitsunternehmen, stellte ebenfalls fest, dass die PHP-Schwachstelle aktiv ausgenutzt wurde. Aufgrund ihrer Erkenntnisse wird angenommen, dass Tell You The Pass-Ransomware-Akteure hinter diesen Angriffen stecken.

Diese Bedrohungsakteure verbreiteten eine .NET-Variante der dateiverschlüsselnden Malware, um ihre bösartigen Absichten auszuführen. Cybersecurity-Forscher haben festgestellt, dass die Zeitspanne zwischen der Veröffentlichung und den aktiven Exploits den Angriffen eine zusätzliche Schwere verleiht.

Es ist erwähnenswert, dass die Schwachstelle sehr leicht ausgenutzt werden kann und sich schnell unter Bedrohungsakteuren verbreitet hat. In Anbetracht der Schwere der Sicherheitslücke und der Folgen, die sich ergeben, wenn sie ausgenutzt wird, sollten sowohl Einzelpersonen als auch Unternehmen ihre Installationen auf die neuesten Versionen aktualisieren, um sich vor Bedrohungen zu schützen.

Schlussfolgerung

Die rasche Ausnutzung der PHP-Schwachstelle CVE-2024-4577 durch Bedrohungsakteure unterstreicht die entscheidende Bedeutung rechtzeitiger Updates und proaktiver Cybersicherheitsmaßnahmen. Trotz der Schwere der Sicherheitslücke hat die Aktualisierung von PHP-Installationen dazu beigetragen, die Risiken zu mindern. Dieser Vorfall unterstreicht die Notwendigkeit für Unternehmen, auf dem Laufenden zu bleiben und Sicherheits-Patches zeitnah zu implementieren, um sich vor den sich entwickelnden Cyber-Bedrohungen zu schützen.

Die Quellen für diesen Artikel sind Artikel in The Hacker News und Pure VPN.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter