Ausnutzung der PHP-Sicherheitslücke CVE-2024-4577 löst schwere Malware- und DDoS-Angriffe aus

Eine beunruhigende Entwicklung: Mehrere Cyber-Bedrohungsakteure haben eine kürzlich bekannt gewordene Sicherheitslücke in PHP mit der Bezeichnung CVE-2024-4577 aktiv ausgenutzt. Dieser kritische Fehler mit einem CVSS-Score von 9,8 ermöglicht es Angreifern, bösartige Befehle aus der Ferne auf Windows-Systemen auszuführen, die chinesische und japanische Spracheinstellungen verwenden. Die Anfang Juni 2024 öffentlich bekannt gewordene Schwachstelle hat zu einem deutlichen Anstieg der Verbreitung von Malware und DDoS-Angriffen geführt.

Die Akamai-Forscher Kyle Lefton, Allen West und Sam Tinklenberg erklärten in ihrer Analyse, dass CVE-2024-4577 es Angreifern ermöglicht, die Befehlszeile zu umgehen und Argumente aufgrund von Problemen bei der Konvertierung von Unicode in ASCII direkt in PHP zu interpretieren. Dieser Fehler wurde von Angreifern schnell ausgenutzt, wie die Tatsache zeigt, dass Honeypot-Server Exploit-Versuche innerhalb von 24 Stunden nach der öffentlichen Bekanntgabe der Schwachstelle erkannten.

Zu diesen Exploit-Versuchen gehört die Bereitstellung einer Vielzahl bösartiger Payloads, wie etwa des Remote-Access-Trojaners Gh0st RAT, von Kryptowährungs-Minern wie RedTail und XMRig sowie des Muhstik DDoS-Botnets. Es wurde beobachtet, dass Angreifer einen Soft-Hyphen-Fehler ausnutzten, um eine Wget-Anfrage für ein Shell-Skript auszuführen, das dann die Krypto-Mining-Malware RedTail von einer russischen IP-Adresse abruft und installiert.

Noch beunruhigender ist die Meldung von Imperva letzten Monat, dass dieselbe Schwachstelle von Akteuren ausgenutzt wird, die eine .NET-Variante der TellYouThePass-Ransomware verbreiten. Dies unterstreicht die breite Nutzung des Exploits durch verschiedene cyberkriminelle Gruppen.

Organisationen, die PHP verwenden, wird dringend empfohlen, ihre Installationen auf die neueste Version zu aktualisieren, um sich vor diesen aktiven Bedrohungen zu schützen. Die schnelle Ausnutzung dieser Sicherheitslücke unterstreicht, dass Verteidiger nach der Offenlegung einer neuen Sicherheitslücke immer weniger Zeit haben, zu handeln.

In einer verwandten Nachricht hat Cloudflare einen Anstieg der DDoS-Angriffe um 20 % im zweiten Quartal 2024 im Vergleich zum Vorjahreszeitraum gemeldet. Das Unternehmen hat allein im ersten Halbjahr 2024 8,5 Millionen DDoS-Angriffe abgewehrt. Während die Gesamtzahl der DDoS-Angriffe im zweiten Quartal gegenüber dem Vorquartal um 11 % zurückgegangen ist, bleibt der Anstieg gegenüber dem Vorjahr ein erhebliches Problem.

Die Hälfte aller HTTP-DDoS-Angriffe in diesem Zeitraum wurde bekannten DDoS-Botnetzen zugeschrieben. Weitere Angriffsmethoden waren gefälschte User Agents, Headless-Browser, verdächtige HTTP-Attribute und generische Floods. Die am häufigsten betroffenen Länder waren China, die Türkei und Singapur, während die Sektoren IT und Dienstleistungen, Telekommunikation und Konsumgüter die Hauptopfer waren.

Argentinien erwies sich im zweiten Quartal 2024 als größte Quelle von DDoS-Angriffen, gefolgt von Indonesien und den Niederlanden. Diese sich entwickelnde Bedrohungslandschaft unterstreicht die Notwendigkeit robuster und aktueller Sicherheitsmaßnahmen zum Schutz vor der immer raffinierteren und häufigeren Cyberangriffe.