PHP の脆弱性 CVE-2024-4577 の悪用により大規模なマルウェアや DDoS 攻撃が発生

憂慮すべき展開として、複数のサイバー脅威アクターが、最近公開された PHP のセキュリティ脆弱性 ( CVE-2024-4577 ) を積極的に悪用しています。CVSS スコア 9.8 のこの重大な欠陥により、攻撃者は中国語および日本語の言語ロケールを使用する Windows システムで悪意のあるコマンドをリモートで実行できます。2024 年 6 月初旬に公開されたこの脆弱性により、マルウェアの配布と DDoS 攻撃が大幅に増加しました。

Akamai の研究者である Kyle Lefton、Allen West、Sam Tinklenberg は、分析の中で、CVE-2024-4577 により、Unicode から ASCII への変換の問題により、攻撃者がコマンドラインをバイパスして PHP の引数を直接解釈できるようになったと説明しています。この脆弱性は、ハニーポット サーバーが脆弱性の公開から 24 時間以内に悪用の試みを検出したことからもわかるように、攻撃者によって迅速に悪用されています。

これらのエクスプロイトの試みには、Gh0st RAT リモート アクセス トロイの木馬、RedTail や XMRig などの暗号通貨マイニング、Muhstik DDoS ボットネットなど、さまざまな悪意のあるペイロードの配信が含まれます。攻撃者は、ソフト ハイフンの脆弱性を利用してシェル スクリプトの wget リクエストを実行し、ロシアの IP アドレスから RedTail 暗号通貨マイニング マルウェアを取得してインストールすることが確認されています。

さらに懸念されるのは、Imperva が先月、同じ脆弱性がTellYouThePass ランサムウェアの .NET 版を配布する攻撃者によって悪用されていると報告したことです。これは、さまざまなサイバー犯罪グループがこの脆弱性を広く採用していることを浮き彫りにしています。

PHP を使用している組織は、これらのアクティブな脅威から保護するために、インストールを最新バージョンに更新することを強くお勧めします。この脆弱性の急速な悪用は、新しい脆弱性の開示後に防御側が行動しなければならない時間が短くなっていることを強調しています。

関連ニュースとして、Cloudflareは2024年第2四半期のDDoS攻撃が前年同期比で20%増加したと報告しています。同社は2024年上半期だけで850万件のDDoS攻撃を軽減しました。第2四半期のDDoS攻撃の総数は前四半期から11%減少しましたが、前年比での増加は依然として大きな懸念事項です。

この期間中の HTTP DDoS 攻撃の半分は既知の DDoS ボットネットによるもので、その他の攻撃ベクトルには偽のユーザー エージェント、ヘッドレス ブラウザー、疑わしい HTTP 属性、一般的なフラッド攻撃などがありました。最も標的となった国は中国、トルコ、シンガポールで、IT およびサービス、通信、消費財の各セクターが主な被害者でした。

2024年第2四半期にはアルゼンチンがDDoS攻撃の最大の発信源となり、インドネシアとオランダがそれに続きました。このように脅威の状況は変化しており、ますます高度化と頻度を増すサイバー攻撃から身を守るために、強力で最新のセキュリティ対策が必要であることが浮き彫りになっています。