Vulnerabilidad de PHP utilizada para ataques de malware y DDoS
El panorama de la ciberdelincuencia ha visto recientemente cómo múltiples actores de amenazas explotaban una conocida vulnerabilidad de PHP. Según informes recientes de los medios de comunicación, la vulnerabilidad se aprovecha para distribuir mineros de criptomonedas, botnets de denegación de servicio distribuido (DDoS) y troyanos de acceso remoto. En este artículo, aprenderemos más sobre la vulnerabilidad PHP y qué se puede hacer para protegerse contra ella.
La vulnerabilidad de PHP CVE-2024-4577
El fallo de seguridad de PHP se conoce como CVE-2024-4577. Por ahora, la vulnerabilidad tiene una puntuación de gravedad de vulnerabilidad crítica (CVSS) de 9,8, lo que la convierte en una grave amenaza para organizaciones y particulares.
Cuando un actor de amenaza explota esta vulnerabilidad PHP, le permite ejecutar remotamente comandos maliciosos en sistemas Windows. Según los informes, los idiomas utilizados para las ejecuciones son el japonés y el chino.
Cabe mencionar aquí que este fallo de seguridad de PHP se descubrió por primera vez en junio de 2024. Investigadores de ciberseguridad de Akamai, proporcionando información sobre la vulnerabilidad de PHP, han declarado que:
"CVE-2024-4577 es un fallo que permite a un atacante escapar de la línea de comandos y pasar argumentos para que sean interpretados directamente por PHP". Los investigadores han añadido que "La vulnerabilidad en sí radica en cómo se convierten los caracteres Unicode en ASCII."
Protocolos iniciales de descubrimiento y mitigación
Según la información disponible, la empresa de infraestructura web ha declarado que empezaron a observar los exploits contra sus servidores honeypot. Estos intentos tenían como objetivo explotar el fallo y se produjeron en las 24 horas siguientes a que la vulnerabilidad de PHP se hiciera pública.
Además, los intentos incluyeron la entrega de un troyano de acceso remoto llamado Gh0st RAT que iba acompañado de mineros de criptomonedas como RedTail y XMRig y una botnet DDoS llamada Muhstik. Los investigadores de ciberseguridad proporcionaron más información sobre los ataques:
"El atacante envió una petición similar a otras vistas en operaciones anteriores de RedTail, abusando del fallo del guion suave con '%ADd,' para ejecutar una petición wget para un script de shell"
Los investigadores continuaron explicando que el script se utiliza para realizar una solicitud de red adicional a la misma dirección IP con sede en Rusia para recuperar una versión x86 del malware de minería de criptomonedas RedTail.
Imperva, otra empresa de ciberseguridad, también observó que la vulnerabilidad PHP se estaba explotando activamente. Según sus datos, se cree que los autores del ransomware Tell You The Pass son los culpables de estos ataques.
Estos actores distribuyeron una variante .NET del malware de cifrado de archivos para llevar a cabo sus intenciones maliciosas. Los investigadores en ciberseguridad han señalado que el lapso de tiempo transcurrido entre la divulgación pública y los exploits activos añade otro nivel de gravedad a los ataques.
Vale la pena mencionar aquí que la vulnerabilidad es altamente explotable y ha ganado rápida adopción entre los actores de amenazas. Dada la gravedad de la vulnerabilidad y las consecuencias de su explotación, tanto los usuarios individuales como las organizaciones deberían actualizar sus instalaciones a las últimas versiones, ya que puede ayudar a protegerse frente a las amenazas.
Conclusión
La rápida explotación de la vulnerabilidad PHP CVE-2024-4577 por parte de los actores de amenazas subraya la importancia crítica de las actualizaciones oportunas y las medidas proactivas de ciberseguridad. A pesar de la gravedad del fallo, la actualización de las instalaciones de PHP ha ayudado a mitigar los riesgos. Este incidente pone de relieve la necesidad de que las organizaciones se mantengan informadas y apliquen rápidamente los parches de seguridad para protegerse contra las ciberamenazas en evolución.
Las fuentes de este artículo incluyen artículos en The Hacker News y Pure VPN.