Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Хакеры активно используют уязвимость PHP для распространения вредоносного ПО и запуска DDoS-атак

3
1 мин
В компании по ИБ Akamai заявили, что многочисленные хакеры начали активно эксплуатировать недавно обнаруженную уязвимость безопасности PHP для доставки троянов удалённого доступа и майнеров криптовалют на пользовательские устройства, а также для запуска ботнетов для проведения DDoS-атак. Речь идёт об уязвимости CVE-2024-4577 (оценка CVSS: 9,8), позволяющей злоумышленнику удалённо выполнять вредоносные команды в системах Windows с использованием китайских и японских языковых настроек. «CVE-2024-4577 — это уязвимость, которая позволяет злоумышленнику выйти из командной строки и передать аргументы для интерпретации непосредственно PHP. Сама уязвимость заключается в том, как символы Unicode преобразуются в ASCII», — заявили исследователи компании Akamai Кайл Лефтон, Аллен Уэст и Сэм Тинкленберг, уточнив, что уязвимость была публично раскрыта в начале июня 2024 года. В компании Akamai также уточнили, что начали отслеживать попытки использования уязвимости PHP против своих серверов-приманок
источник: dall-e
источник: dall-e

В компании по ИБ Akamai заявили, что многочисленные хакеры начали активно эксплуатировать недавно обнаруженную уязвимость безопасности PHP для доставки троянов удалённого доступа и майнеров криптовалют на пользовательские устройства, а также для запуска ботнетов для проведения DDoS-атак. Речь идёт об уязвимости CVE-2024-4577 (оценка CVSS: 9,8), позволяющей злоумышленнику удалённо выполнять вредоносные команды в системах Windows с использованием китайских и японских языковых настроек.

«CVE-2024-4577 — это уязвимость, которая позволяет злоумышленнику выйти из командной строки и передать аргументы для интерпретации непосредственно PHP. Сама уязвимость заключается в том, как символы Unicode преобразуются в ASCII», — заявили исследователи компании Akamai Кайл Лефтон, Аллен Уэст и Сэм Тинкленберг, уточнив, что уязвимость была публично раскрыта в начале июня 2024 года.

В компании Akamai также уточнили, что начали отслеживать попытки использования уязвимости PHP против своих серверов-приманок в течение 24 часов после того, как о ней стало известно общественности. В этот процесс входили эксплойты, предназначенные для доставки трояна удалённого доступа под названием Gh0st RAT, майнеров криптовалют, таких как RedTail и XMRig, а также DDoS-ботнета под названием Muhstik.

«Хакеры отправили запросы, аналогичные другим, замеченным ранее в активности вредоноса RedTail, злоупотребляя уязвимостью мягкого дефиса с ‘%ADd’, чтобы выполнить запрос wget для скрипта оболочки. Этот скрипт делает дополнительный сетевой запрос на тот же российский IP-адрес, чтобы получить версию x86 вредоносного ПО для криптомайнинга RedTail», — пояснили исследователи.

В июне 2024 года компания Imperva также сообщала, что уязвимость CVE-2024-4577 используется хакерами, занимающимися вымогательством, из группировки TellYouThePass для распространения .NET-варианта вредоносного ПО для шифрования файлов.

Оригинал публикации на сайте CISOCLUB: "Хакеры активно используют уязвимость PHP для распространения вредоносного ПО и запуска DDoS-атак".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются