Attori delle minacce sfruttano una grave vulnerabilità di sicurezza in PHP
Gli attori delle minacce stanno sfruttando una grave vulnerabilità di sicurezza in PHP per distribuire miner di criptovalute e trojan di accesso remoto (RAT) come Quasar RAT. La vulnerabilità, identificata con il codice CVE-2024-4577, riguarda un’iniezione di argomenti in PHP che colpisce i sistemi basati su Windows in modalità CGI, permettendo agli attaccanti remoti di eseguire codice arbitrario.
Aumento degli attacchi in diverse regioni
La società di cybersecurity Bitdefender ha osservato un aumento degli attacchi contro CVE-2024-4577 dalla fine dello scorso anno, con una concentrazione significativa a Taiwan (54,65%), Hong Kong (27,06%), Brasile (16,39%), Giappone (1,57%) e India (0,33%). Circa il 15% degli attacchi rilevati coinvolge controlli di vulnerabilità di base utilizzando comandi come “whoami” ed “echo”. Un altro 15% ruota attorno a comandi per la ricognizione del sistema, come l’enumerazione dei processi, la scoperta della rete, le informazioni su utenti e domini e la raccolta di metadati del sistema.
Distribuzione di miner di criptovalute
Martin Zugec, direttore delle soluzioni tecniche di Bitdefender, ha notato che almeno il 5% degli attacchi rilevati ha portato alla distribuzione del miner di criptovalute XMRig. “Un’altra campagna più piccola ha coinvolto la distribuzione di miner Nicehash, una piattaforma che consente agli utenti di vendere potenza di calcolo per criptovalute,” ha aggiunto Zugec. “Il processo del miner era mascherato come un’applicazione legittima, come javawindows.exe, per evitare il rilevamento.”
Strumenti di accesso remoto e configurazioni firewall
Altri attacchi hanno sfruttato la vulnerabilità per distribuire strumenti di accesso remoto come il Quasar RAT open-source, oltre a eseguire file MSI dannosi ospitati su server remoti utilizzando cmd.exe. In un curioso colpo di scena, l’azienda rumena ha osservato tentativi di modificare le configurazioni del firewall sui server vulnerabili per bloccare l’accesso a IP dannosi noti associati all’exploit. Questo comportamento insolito ha sollevato la possibilità che gruppi rivali di cryptojacking stiano competendo per il controllo delle risorse vulnerabili, impedendo loro di essere attaccate una seconda volta.
Consigli per la sicurezza
Lo sviluppo arriva poco dopo che Cisco Talos ha rivelato dettagli di una campagna che sfrutta la vulnerabilità PHP in attacchi mirati a organizzazioni giapponesi dall’inizio dell’anno. Gli utenti sono invitati ad aggiornare le loro installazioni PHP all’ultima versione per proteggersi da potenziali minacce. “Poiché la maggior parte delle campagne ha utilizzato strumenti LOTL, le organizzazioni dovrebbero considerare di limitare l’uso di strumenti come PowerShell all’interno dell’ambiente solo agli utenti privilegiati come gli amministratori,” ha detto Zugec.
Fonte: The Hackers News
