استغلال ثغرة PHP لنشر البرامج الضارة وشن هجمات DDoS
تمت ملاحظة العديد من الجهات الفاعلة في مجال التهديد وهي تستغل ثغرة أمنية تم الكشف عنها مؤخرًا في PHP لتوصيل أحصنة طروادة للوصول عن بعد، وعمال المناجم للعملات المشفرة، وشبكات الروبوتات الموزعة لرفض الخدمة (DDoS).
الثغرة الأمنية المعنية هي CVE-2024-4577 (درجة CVSS: 9.8)، والتي تسمح للمهاجم بتنفيذ أوامر ضارة عن بعد على أنظمة Windows باستخدام اللغات الصينية واليابانية. تم الكشف عنه علنًا في أوائل يونيو 2024.
“CVE-2024-4577 هو عيب يسمح للمهاجم بالهروب من سطر الأوامر وتمرير الوسائط ليتم تفسيرها مباشرة بواسطة PHP،” باحثو Akamai كايل ليفتون وألين ويست وسام تينكلينبيرج قال في تحليل الاربعاء “تكمن الثغرة الأمنية نفسها في كيفية تحويل أحرف Unicode إلى ASCII.”
قالت شركة البنية التحتية للويب إنها بدأت في ملاحظة محاولات استغلال ضد خوادم مصيدة الجذب الخاصة بها والتي تستهدف خلل PHP في غضون 24 ساعة من نشره للجمهور.
وشمل ذلك عمليات استغلال مصممة لتقديم حصان طروادة للوصول عن بعد يسمى Gh0st RAT، وعمال تعدين العملات المشفرة مثل RedTail وXMRig، وشبكة الروبوتات DDoS المسماة Muhstik.
وأوضح الباحثون أن “المهاجم أرسل طلبًا مشابهًا للطلبات الأخرى التي شاهدت عمليات RedTail السابقة، مستغلًا ثغرة الواصلة الناعمة مع ‘%ADd’، لتنفيذ طلب wget لبرنامج نصي shell”. “يقوم هذا البرنامج النصي بتقديم طلب شبكة إضافي إلى نفس عنوان IP الموجود في روسيا لاسترداد إصدار x86 من البرنامج الضار لتعدين العملات المشفرة RedTail.”
وفي الشهر الماضي، كشفت Imperva أيضًا أن CVE-2024-4577 يتم استغلاله من قبل الجهات الفاعلة في برامج الفدية TellYouThePass لتوزيع نسخة .NET من البرامج الضارة التي تقوم بتشفير الملفات.
يُنصح المستخدمون والمؤسسات التي تعتمد على PHP بتحديث عمليات التثبيت الخاصة بهم إلى الإصدار الأحدث للحماية من التهديدات النشطة.
وقال الباحثون: “إن التقلص المستمر للوقت الذي يتعين على المدافعين حماية أنفسهم فيه بعد الكشف عن ثغرة أمنية جديدة يمثل خطرًا أمنيًا كبيرًا آخر”. “ينطبق هذا بشكل خاص على ثغرة PHP هذه نظرًا لقابلية استغلالها العالية واعتمادها السريع من قبل جهات التهديد.”
ويأتي هذا الكشف في الوقت الذي قالت فيه Cloudflare إنها سجلت زيادة بنسبة 20% على أساس سنوي في هجمات DDoS في الربع الثاني من عام 2024، وأنها خففت 8.5 مليون هجوم DDoS خلال الأشهر الستة الأولى. وبالمقارنة، منعت الشركة 14 مليون هجمة DDoS طوال عام 2023 بأكمله.
“بشكل عام، انخفض عدد هجمات DDoS في الربع الثاني بنسبة 11% على أساس ربع سنوي، لكنه زاد بنسبة 20% على أساس سنوي،” هذا ما قاله الباحثان عمر يواكيميك وخورخي باتشيكو. قال في تقرير تهديدات DDoS للربع الثاني من عام 2024.
والأكثر من ذلك، أن شبكات الروبوت المعروفة لـ DDoS تمثل نصف جميع هجمات HTTP DDoS. وكان وكلاء المستخدم المزيفون والمتصفحات مقطوعة الرأس (29%)، وسمات HTTP المشبوهة (13%)، والفيضانات العامة (7%) هي ناقلات هجوم HTTP DDoS البارزة الأخرى.
وكانت الدولة الأكثر تعرضًا للهجوم خلال تلك الفترة هي الصين، تليها تركيا وسنغافورة وهونج كونج وروسيا والبرازيل وتايلاند وكندا وتايوان وقيرغيزستان. وبرزت تكنولوجيا المعلومات والخدمات، والاتصالات، والسلع الاستهلاكية، والتعليم، والبناء، والأغذية والمشروبات كأكبر القطاعات المستهدفة بهجمات DDoS.
وقال الباحثون: “تم تصنيف الأرجنتين كأكبر مصدر لهجمات DDoS في الربع الثاني من عام 2024”. وجاءت إندونيسيا في المركز الثاني مباشرة، تليها هولندا في المركز الثالث.
أخبرت Cloudflare The Hacker News أن أوكرانيا تم تصنيفها في المرتبة 103 من بين الدول الأكثر تعرضًا للهجوم في الربع الثاني من عام 2024 بعد الأخذ في الاعتبار معلمات مختلفة مثل الحجم الإجمالي للهجوم ونسبها المئوية من إجمالي حركة المرور، لهجمات HTTP DDoS وهجمات DDoS على طبقة الشبكة.
“ومع ذلك، عند التركيز على أوكرانيا وحدها، يمكننا أن نرى أن هجمات HTTP DDoS كانت في الواقع تتزايد تدريجيًا ضد أوكرانيا على مدار الأرباع الأربعة الماضية؛ حيث وصلت إلى معدلات مماثلة لوحظت مع بدء الغزو الروسي واسع النطاق لأوكرانيا في عام 2022،” قال كبير مديري المنتجات في Cloudflare.
“من حيث الأرقام، في الربع الثاني من عام 2024، قامت Cloudflare بتخفيف 143 مليار طلب DDoS ضد أوكرانيا وهو ما يمثل حوالي 5.8% من إجمالي حركة المرور على الويب المتجهة إلى أوكرانيا. ويمثل هذا زيادة بنسبة 75% على أساس ربع سنوي وزيادة بنسبة 625% على أساس سنوي. -سنة.”
(تم تحديث القصة بعد النشر لتشمل رؤى إضافية تمت مشاركتها بواسطة Cloudflare.)
إرسال التعليق