Il Security Intelligence Response Team (SIRT) di Akamai Technologies ha rilevato lo sfruttamento diffuso in una vulnerabilità critica di PHP, CVE-2004-4577. Questa vulnerabilità colpisce le installazioni PHP eseguite in modalità CGI e ha colpito principalmente le installazioni Windows che utilizzano le localizzazioni in lingua cinese e giapponese. Tuttavia, l’estensione completa delle installazioni colpite è ancora in fase di indagine.
Le caratteristiche della vulnerabilità CVE-2024-4577 delle installazioni PHP
Osservando la vulnerabilità delle installazioni PHP, il SIRT ha notato numerosi tentativi di exploit entro 24 ore dalla divulgazione della vulnerabilità, evidenziando la sua elevata sfruttabilità e la rapida adozione da parte degli attori delle minacce informatiche. Gli aggressori sfruttano la vulnerabilità per l’esecuzione di codice remoto (RCE) attraverso l’iniezione di comandi, con exploit che includono varie campagne di malware come Gh0stRAT, i crypto miner RedTail e XMRig. L’App & API Protector di Akamai ha mitigato automaticamente questi exploit per i suoi clienti, fornendo una difesa immediata contro questi attacchi.
La vulnerabilità CVE-2024-4577 delle installazioni PHP deriva dal modo in cui i gestori PHP e CGI analizzano alcuni caratteri Unicode, che possono essere sfruttati per eseguire codice remoto. Gli aggressori possono inviare al server codice PHP dannoso, che viene interpretato in modo errato a causa di quella falla. L’exploit prevede l’uso di php://input per incorporare codice nel corpo della richiesta e manipolare opzioni come auto_prepend_file e allow_url_include.
Tra gli exploit osservati, il malware Gh0stRAT è stato rilevato negli honeypot di Akamai. Questo exploit utilizza il packing UPX e manipola le installazioni http per fornire payload dannosi, incluso il download di malware aggiuntivo da server remoti. Il RedTail Crypto Miner, un altro exploit osservato, prevede la distribuzione di uno script di shell per scaricare ed eseguire malware di crypto mining, puntando a directory con autorizzazioni specifiche. Una campagna che coinvolge il malware Muhstik utilizza uno script di shell che scarica un file ELF, coerente con i modelli noti del malware Muhstik, utilizzato per il crypto mining e gli attacchi DDoS. Infine, XMRig utilizza PowerShell per scaricare ed eseguire uno script da un pool di mining remoto, seguito da operazioni di pulizia per nascondere l’attacco.
I consigli di Akamai
Akamai raccomanda vivamente alle aziende di applicare immediatamente le patch necessarie e di monitorare le proprie installazioni PHP alla ricerca di indicatori di compromissione (IoC). I clienti che utilizzano il web application firewall (WAF) e l’Adaptive Security Engine di Akamai sono automaticamente protetti da questi exploit. Sono state fornite regole e configurazioni specifiche per garantire una solida difesa contro queste minacce.
Il rapido sfruttamento di CVE-2024-4577 nelle installazioni PHP sottolinea le crescenti sfide che i difensori della sicurezza informatica devono affrontare. Il SIRT di Akamai continuerà a monitorare queste e altre minacce e fornirà ulteriori informazioni non appena si presenteranno.
