Свежая уязвимость в PHP используется для распространения малвари и проведения DDoS-атак - «Новости»

  • 10:30, 15-июл-2024
  • Новости / Изображения / Самоучитель CSS / Преимущества стилей / Текст
  • Екатерина
  • 0

Специалисты Akamai предупредили, что множество злоумышленников используют обнаруженную недавно уязвимость в PHP для распространения троянов удаленного доступа, криптовалютных майнеров и организации DDoS-атак.


Напомним, что RCE-уязвимость CVE-2024-4577 (9,8 балла по шкале CVSS) была раскрыта в начале июня 2024 года. Она позволяет злоумышленнику удаленно выполнять вредоносные команды в Windows-системах. Проблема усугубляется при использовании некоторых локализаций, которые более восприимчивы к этому багу, включая традиционный китайский, упрощенный китайский и японский.


«CVE-2024-4577 позволяет злоумышленнику осуществить побег из командной строки и передать аргументы для интерпретации непосредственно PHP, — пишут исследователи Akamai. — Сама уязвимость связана с тем, как символы Юникод преобразуются в ASCII».


Специалисты говорят, что зафиксировали первые попытки эксплуатации свежего бага на своих honeypot-серверах в течение 24 часов после того, как о проблеме стало известно широкой общественности.


В частности, были замечены эксплоиты, предназначенные для распространения трояна удаленного доступа Gh0st RAT, криптовалютных майнеров RedTail и XMRig, а также DDoS-ботнета Muhstik.


«Атакующие отправляли запрос, похожий на те, что встречались в предыдущих операциях RedTail, чтобы выполнить запрос wget для шелл-скрипта, — пишут исследователи. — Этот скрипт делает дополнительный сетевой запрос на тот же IP-адрес, расположенный в России, чтобы получить x86-версию вредоносной программы для майнинга криптовалют RedTail».


Отметим, что ранее специалисты компании Imperva так же предупреждали о начале эксплуатации CVE-2024-4577. По их данным, баг начали применять участники вымогательской группировки TellYouThePass для распространения .NET-варианта своего шифровальщика.


Специалисты Akamai предупредили, что множество злоумышленников используют обнаруженную недавно уязвимость в PHP для распространения троянов удаленного доступа, криптовалютных майнеров и организации DDoS-атак. Напомним, что RCE-уязвимость CVE-2024-4577 (9,8 балла по шкале CVSS) была раскрыта в начале июня 2024 года. Она позволяет злоумышленнику удаленно выполнять вредоносные команды в Windows-системах. Проблема усугубляется при использовании некоторых локализаций, которые более восприимчивы к этому багу, включая традиционный китайский, упрощенный китайский и японский. «CVE-2024-4577 позволяет злоумышленнику осуществить побег из командной строки и передать аргументы для интерпретации непосредственно PHP, — пишут исследователи Akamai. — Сама уязвимость связана с тем, как символы Юникод преобразуются в ASCII». Специалисты говорят, что зафиксировали первые попытки эксплуатации свежего бага на своих honeypot-серверах в течение 24 часов после того, как о проблеме стало известно широкой общественности. В частности, были замечены эксплоиты, предназначенные для распространения трояна удаленного доступа Gh0st RAT, криптовалютных майнеров RedTail и XMRig, а также DDoS-ботнета Muhstik. «Атакующие отправляли запрос, похожий на те, что встречались в предыдущих операциях RedTail, чтобы выполнить запрос wget для шелл-скрипта, — пишут исследователи. — Этот скрипт делает дополнительный сетевой запрос на тот же IP-адрес, расположенный в России, чтобы получить x86-версию вредоносной программы для майнинга криптовалют RedTail». Отметим, что ранее специалисты компании Imperva так же предупреждали о начале эксплуатации CVE-2024-4577. По их данным, баг начали применять участники вымогательской группировки TellYouThePass для распространения .NET-варианта своего шифровальщика.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!