Amenaza en Expansión: Exploits de la Vulnerabilidad PHP CVE-2024-4577 Distribuyen Malware de Múltiples Familias

El Equipo de Respuesta de Inteligencia de Seguridad de Akamai (SIRT) ha emitido una advertencia sobre la explotación activa de la vulnerabilidad PHP recientemente revelada, CVE-2024-4577. Diversos actores de amenazas están utilizando esta falla para distribuir múltiples familias de malware, incluyendo Gh0st RAT, RedTail y XMRig.

Según el informe de Akamai, los actores de amenazas han mostrado una capacidad alarmante para pasar rápidamente de la divulgación de vulnerabilidades a su explotación. “Observamos intentos de explotación dirigidos a esta falla de PHP en nuestra red honeypot dentro de las 24 horas posteriores a su divulgación”, señaló Akamai.

Detalles de la Vulnerabilidad CVE-2024-4577

La vulnerabilidad CVE-2024-4577, con una puntuación CVSS de 9,8, es una vulnerabilidad de inyección de comandos PHP-CGI en el sistema operativo. Esta falla se origina en la función Best-Fit de conversión de codificación dentro del sistema operativo Windows, permitiendo a los atacantes ejecutar código arbitrario en servidores PHP remotos mediante la inyección de argumentos específicos. Esta vulnerabilidad se puede utilizar para eludir las protecciones de una vulnerabilidad anterior, CVE-2012-1823.

Desde la revelación de CVE-2024-4577 y la disponibilidad pública de un código de explotación PoC (prueba de concepto), múltiples actores han intentado explotarla. Los investigadores de Shadowserver y GreyNoise han reportado numerosos intentos de explotación.

En junio, la Agencia de Seguridad Cibernética y de Infraestructura de Estados Unidos (CISA) agregó esta vulnerabilidad a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). GreyNoise también ha informado sobre intentos maliciosos de explotación.

Configuraciones Regionales Vulnerables

Se ha verificado que Windows, cuando se ejecuta en ciertas configuraciones regionales, es particularmente vulnerable a esta falla:

• Chino tradicional (página de código 950)
• Chino simplificado (página de códigos 936)
• Japonés (página de código 932)

Para otras configuraciones regionales como inglés, coreano y Europa occidental, no se pueden descartar completamente todos los posibles escenarios de explotación debido a la amplia variedad de usos de PHP. Se recomienda a los usuarios que realicen una evaluación integral de sus activos, verifiquen sus escenarios de uso y actualicen PHP a la última versión disponible.

Malware Distribuido a Través de CVE-2024-4577

Los investigadores de Akamai han observado la explotación de esta vulnerabilidad por parte de actores detrás de la botnet DDoS Muhstik. El script de shell de la botnet descarga un archivo ELF llamado “pty3” desde una IP diferente, probablemente una muestra del malware Muhstik, diseñado para atacar dispositivos IoT y servidores Linux con fines de criptominería y DDoS. El bot también se conecta al dominio de comando y control p.findmeatthe[.]top y se comunica a través de Internet Relay Chat.

Otra campaña observada explota la vulnerabilidad para distribuir el XMRig. Los atacantes inyectan un comando que utiliza un script de PowerShell para descargar y ejecutar un script que inicia XMRig desde un grupo de minería remoto. Este script también limpia los archivos temporales para evitar la detección.

Respuesta y Recomendaciones

“Entre el uso de diversas herramientas de automatización y la falta de supervisión corporativa, los atacantes están preparados para triunfar. El tiempo cada vez menor que tienen los defensores para protegerse después de una nueva divulgación de vulnerabilidad es otro riesgo crítico de seguridad”, concluye el informe de Akamai. La alta explotabilidad y rápida adopción de esta vulnerabilidad por parte de los actores de amenazas subraya la necesidad de una respuesta rápida y eficiente.

Es crucial que los administradores de sistemas y profesionales de la seguridad implementen las siguientes medidas:

1. Actualización Inmediata: Asegúrese de que PHP y todos los componentes relacionados estén actualizados a la última versión.
2. Evaluación de Configuraciones: Realice una evaluación integral de las configuraciones regionales y de uso de PHP en sus servidores.
3. Monitoreo y Detección: Implemente soluciones de monitoreo para detectar actividad inusual y posibles intentos de explotación.
4. Seguridad en Capas: Utilice múltiples capas de defensa, incluyendo firewalls, sistemas de detección de intrusiones (IDS) y prácticas de hardening.

La rápida acción y la vigilancia constante son esenciales para mitigar los riesgos asociados con esta y otras vulnerabilidades críticas.

#SeguridadInformática ? #Ciberseguridad ?️ #Vulnerabilidades ? #Malware ? #PHP ⚙️ #Akamai ? #Gh0stRAT ? #XMRig ⛏️ #CISA ?? #GreyNoise ?