ClickCease PHP 취약점: 익스플로잇으로 인한 멀웨어 및 DDoS 공격 - TuxCare

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

멀웨어 및 DDOS 공격에 사용되는 PHP 취약점

와자핫 라자

2024년 7월 25일 TuxCare 전문가 팀

최근 사이버 범죄 환경에서는 알려진 PHP 취약점을 악용하는 여러 위협 행위자가 발견되었습니다. 최근 언론 보도에 따르면 이 취약점은 암호화폐 채굴기, 분산 서비스 거부(DDoS) 봇넷, 원격 액세스 트로이목마에 악용되고 있습니다. 이 글에서는 PHP 취약점 익스플로잇에 대해 자세히 알아보고 이를 방지하기 위해 취할 수 있는 조치에 대해 알아보겠습니다.

PHP 취약점 CVE-2024-4577

이 PHP 보안 결함은 현재 CVE-2024-4577로 불리고 있습니다. 현재 이 취약점의 중요 취약점 심각도 점수(CVSS)는 9.8로, 조직과 개인에게 심각한 위협이 되고 있습니다.

위협 행위자가 이 PHP 취약점을 익스플로잇하면 Windows 시스템에서 원격으로 악성 명령을 실행할 수 있습니다. 보고서에 따르면 실행에 사용되는 언어 로캘은 일본어와 중국어입니다.

이 PHP 보안 결함은 2024년 6월에 처음 발견되었다는 점을 여기서 언급할 필요가 있습니다. Akamai의 사이버 보안 연구원들은 PHP 취약점에 대한 인사이트를 제공하면서 다음과 같이 말했습니다:

"CVE-2024-4577은 공격자가 명령줄을 빠져나와 인수를 전달하여 PHP에서 직접 해석할 수 있도록 하는 결함입니다." 연구원들은 "취약점 자체는 유니코드 문자가 아스키로 변환되는 방식에 있습니다."라고 덧붙였습니다.

초기 발견 및 완화 프로토콜

공개된 정보에 따르면, 웹 인프라 회사는 허니팟 서버에 대한 익스플로잇을 관찰하기 시작했다고 밝혔습니다. 이러한 시도는 결함을 악용하기 위한 것으로, PHP 취약점이 공개된 후 24시간 이내에 이루어졌습니다.

또한, 이러한 시도에는 RedTail 및 XMRig와 같은 암호화폐 채굴자와 Muhstik이라는 DDoS 봇넷을 동반한 Gh0st RAT라는 원격 액세스 트로이목마의 전달도 포함되었습니다. 사이버 보안 연구원들은 공격에 대한 추가 인사이트를 제공하면서 다음과 같이 말했습니다:

"공격자는 '%ADd'의 소프트 하이픈 결함을 악용하여 셸 스크립트에 대한 wget 요청을 실행하기 위해 이전 RedTail 공격에서 볼 수 있었던 다른 요청과 유사한 요청을 보냈습니다."

연구원들은 이 스크립트가 동일한 러시아 기반 IP 주소로 추가 네트워크 요청을 보내 x86 버전의 RedTail 암호화폐 채굴 멀웨어를 검색하는 데 사용된다고 설명했습니다.

또 다른 사이버 보안 회사인 Imperva도 PHP 취약점이 활발하게 악용되고 있다는 사실을 발견했습니다. 이들의 인사이트에 따르면, 텔 유 더 패스 랜섬웨어 공격자들이 이러한 익스플로잇의 배후에 있는 것으로 추정됩니다.

이 위협 행위자들은 악의적인 의도를 수행하기 위해 파일 암호화 멀웨어의 .NET 변종을 유포했습니다. 사이버 보안 연구원들은 공개 시점부터 익스플로잇이 활성화되기까지의 기간이 공격의 심각성을 더한다고 설명했습니다.

이 취약점은 악용 가능성이 매우 높으며 위협 행위자들 사이에서 빠르게 채택되고 있다는 점을 여기서 언급할 필요가 있습니다. 취약점의 심각성과 악용될 경우의 여파를 고려할 때, 개인 및 조직 사용자 모두 최신 버전으로 업데이트하는 것이 위협으로부터 보호하는 데 도움이 될 수 있으므로 최신 버전으로 설치해야 합니다.

결론

위협 행위자들이 CVE-2024-4577 PHP 취약점을 빠르게 악용하는 것은 적시 업데이트와 선제적인 사이버 보안 조치가 매우 중요하다는 것을 강조합니다. 이 결함의 심각성에도 불구하고 PHP 설치를 업데이트하면 위험을 완화하는 데 도움이 됩니다. 이 사건은 진화하는 사이버 위협으로부터 보호하기 위해 조직이 최신 정보를 파악하고 보안 패치를 신속하게 적용해야 할 필요성을 강조합니다.

이 글의 출처는 해커 뉴스와 Pure VPN의 기사입니다.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기