Vários atores mal-intencionados foram observados explorando uma vulnerabilidade recentemente divulgada no PHP para disseminar trojans de acesso remoto, mineradores de criptomoedas e botnets de ataques distribuídos de negação de serviço (DDoS). A vulnerabilidade em questão é a CVE-2024-4577 (pontuação CVSS: 9.8), que permite a um invasor executar comandos maliciosos remotamente em sistemas Windows que utilizam locais de idioma chinês e japonês. Ela foi divulgada publicamente no início de junho de 2024.
“A vulnerabilidade permite a um invasor escapar da linha de comando e passar argumentos para serem interpretados diretamente pelo PHP,” explicaram os pesquisadores da Akamai, em uma análise publicada esta semana. “A vulnerabilidade em si está em como os caracteres Unicode são convertidos em ASCII.” A empresa de infraestrutura web afirmou que começou a observar tentativas de exploração contra seus servidores honeypot, direcionadas à falha do PHP, dentro de 24 horas após ela se tornar pública.
Isso incluiu explorações projetadas para disseminar um trojan de acesso remoto chamado Gh0st RAT, mineradores de criptomoedas como RedTail e XMRig, e um botnet de DDoS chamado Muhstik. No mês passado, a Imperva também revelou que a CVE-2024-4577 está sendo explorada por atores do ransomware TellYouThePass para distribuir uma variante .NET do malware de criptografia de arquivos.
Usuários e organizações que dependem do PHP são recomendados a atualizar suas instalações para a versão mais recente para se proteger contra ameaças ativas.