ClickCease Vulnérabilité PHP : Les exploits conduisent à des logiciels malveillants et à des attaques DDoS - TuxCare

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Vulnérabilité de PHP utilisée pour des attaques de logiciels malveillants et de DDOS

Wajahat Raja

25 juillet 2024 - L'équipe d'experts de TuxCare

Le paysage de la cybercriminalité a récemment vu de nombreux acteurs de la menace exploiter une vulnérabilité PHP connue. Selon des rapports récents des médias, la vulnérabilité est exploitée pour livrer des mineurs de crypto-monnaie, des botnets de déni de service distribué (DDoS) et des chevaux de Troie d'accès à distance. Dans cet article, nous en apprendrons davantage sur l'exploitation de la vulnérabilité PHP et sur les mesures à prendre pour s'en prémunir.

La vulnérabilité de PHP CVE-2024-4577

La faille de sécurité PHP est actuellement appelée CVE-2024-4577. À l'heure actuelle, la vulnérabilité a un score de gravité de vulnérabilité critique (CVSS) de 9,8, ce qui en fait une menace sérieuse pour les organisations et les individus.

Lorsqu'un acteur de la menace exploite cette vulnérabilité de PHP, il peut exécuter à distance des commandes malveillantes sur les systèmes Windows. Les rapports indiquent que les langues locales utilisées pour les exécutions sont le japonais et le chinois.

Il convient de mentionner ici que cette faille de sécurité PHP a été découverte pour la première fois en juin 2024. Les chercheurs en cybersécurité d'Akamai, qui fournissent des informations sur la vulnérabilité de PHP, ont déclaré ce qui suit :

"CVE-2024-4577 est une faille qui permet à un attaquant d'échapper à la ligne de commande et de passer des arguments qui seront interprétés directement par PHP. Les chercheurs ont ajouté que "la vulnérabilité elle-même réside dans la façon dont les caractères Unicode sont convertis en ASCII".

Protocoles de découverte initiale et d'atténuation

Selon les informations disponibles, la société d'infrastructure web a déclaré qu'elle avait commencé à observer des exploits contre ses serveurs de type "honeypot". Ces tentatives visaient à exploiter la faille et ont eu lieu dans les 24 heures qui ont suivi la publication de la vulnérabilité de PHP.

En outre, les tentatives comprenaient la diffusion d'un cheval de Troie d'accès à distance nommé Gh0st RAT qui était accompagné de mineurs de crypto-monnaie tels que RedTail et XMRig et d'un botnet DDoS nommé Muhstik. Les chercheurs en cybersécurité ont fourni des informations complémentaires sur les attaques :

"L'attaquant a envoyé une demande similaire aux autres opérations précédentes de RedTail, abusant de la faille du trait d'union doux avec '%ADd', pour exécuter une demande wget pour un script shell"

Les chercheurs ont ensuite expliqué que le script est utilisé pour effectuer une requête réseau supplémentaire vers la même adresse IP basée en Russie afin de récupérer une version x86 du logiciel malveillant de crypto-minage RedTail.

Imperva, une autre société de cybersécurité, a également remarqué que la vulnérabilité PHP était activement exploitée. D'après leurs observations, les acteurs du ransomware Tell You The Pass seraient à l'origine de ces exploits.

Ces acteurs de la menace ont distribué une variante .NET du logiciel malveillant de cryptage de fichiers pour mener à bien leurs intentions malveillantes. Les chercheurs en cybersécurité ont ajouté que le délai entre la divulgation publique et les exploits actifs ajoute un degré de gravité supplémentaire aux attaques.

Il convient de mentionner ici que cette vulnérabilité est hautement exploitable et qu'elle a été rapidement adoptée par les acteurs de la menace. Compte tenu de la gravité de la vulnérabilité et des conséquences de son exploitation, les utilisateurs individuels et organisationnels devraient mettre à jour leur installation avec les versions les plus récentes afin de se prémunir contre les menaces.

Conclusion

L'exploitation rapide de la vulnérabilité PHP CVE-2024-4577 par des acteurs menaçants souligne l'importance cruciale des mises à jour opportunes et des mesures de cybersécurité proactives. Malgré la gravité de la faille, la mise à jour des installations PHP a permis de limiter les risques. Cet incident souligne la nécessité pour les organisations de se tenir informées et d'appliquer rapidement les correctifs de sécurité afin de se prémunir contre l'évolution des cybermenaces.

Les sources de cet article comprennent des articles de The Hacker News et de Pure VPN.

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information