L'exploitation de la vulnérabilité PHP CVE-2024-4577 déclenche d'importantes attaques de logiciels malveillants et DDoS

Dans un développement inquiétant, plusieurs cybercriminels ont activement exploité une vulnérabilité de sécurité récemment révélée dans PHP, désignée sous le nom de CVE-2024-4577 . Cette faille critique, avec un score CVSS de 9,8, permet aux attaquants d'exécuter à distance des commandes malveillantes sur les systèmes Windows qui utilisent des langues chinoises et japonaises. La vulnérabilité, révélée publiquement début juin 2024, a entraîné une augmentation significative de la distribution de logiciels malveillants et des attaques DDoS.

Les chercheurs d'Akamai Kyle Lefton, Allen West et Sam Tinklenberg ont expliqué dans leur analyse que CVE-2024-4577 permet aux attaquants de contourner la ligne de commande et d'interpréter directement les arguments en PHP en raison de problèmes de conversion Unicode vers ASCII. Cette faille a été rapidement exploitée par les attaquants, comme en témoignent les serveurs honeypot détectant les tentatives d'exploitation dans les 24 heures suivant la divulgation publique de la vulnérabilité.

Ces tentatives d'exploitation incluent la livraison d'une variété de charges utiles malveillantes, telles que le cheval de Troie d'accès à distance Gh0st RAT, les mineurs de cryptomonnaie comme RedTail et XMRig et le botnet DDoS Muhstik. Des attaquants ont été observés en train d'utiliser une faille de trait d'union pour exécuter une requête wget pour un script shell, qui récupère et installe ensuite le malware de crypto-minage RedTail à partir d'une adresse IP basée en Russie.

Ajoutant à l'inquiétude, Imperva a signalé le mois dernier que la même vulnérabilité était exploitée par des acteurs distribuant une variante .NET du ransomware TellYouThePass . Cela met en évidence l’adoption généralisée de cet exploit par divers groupes cybercriminels.

Il est fortement conseillé aux organisations utilisant PHP de mettre à jour leurs installations vers la dernière version pour se protéger contre ces menaces actives. L’exploitation rapide de cette vulnérabilité souligne la diminution de la fenêtre d’action dont disposent les défenseurs à la suite d’une nouvelle divulgation de vulnérabilité.

Dans le même ordre d’idées, Cloudflare a signalé une augmentation de 20 % des attaques DDoS au deuxième trimestre 2024 par rapport à la même période de l’année dernière. L’entreprise a atténué 8,5 millions d’attaques DDoS au cours du seul premier semestre 2024. Même si le nombre global d'attaques DDoS au deuxième trimestre a diminué de 11 % par rapport au trimestre précédent, l'augmentation d'une année sur l'autre reste une préoccupation majeure.

La moitié de toutes les attaques HTTP DDoS au cours de cette période ont été attribuées à des botnets DDoS connus, avec d'autres vecteurs d'attaque, notamment de faux agents utilisateurs, des navigateurs sans tête, des attributs HTTP suspects et des inondations génériques. Les pays les plus ciblés ont été la Chine, la Turquie et Singapour, tandis que les secteurs de l'informatique et des services, des télécommunications et des biens de consommation ont été les principales victimes.

L'Argentine est devenue la principale source d'attaques DDoS au deuxième trimestre 2024, suivie par l'Indonésie et les Pays-Bas. Ce paysage de menaces en évolution souligne la nécessité de mesures de sécurité robustes et actualisées pour se prémunir contre la sophistication et la fréquence toujours croissantes des cyberattaques.