Vulnerabilidad en PHP: Un Punto Crítico para Ciberataques
El mundo de la ciberseguridad enfrenta constantemente nuevas amenazas, y recientemente, se ha descubierto una vulenrabilidad crítica en PHP que está siendo explotada para distribuir troyanos de acceso remoto, mineros de criptomonedas y botnets de DDoS. La vulnerabilidad, identificada como CVE-2024-4577 (con una puntuación de CVSS: 9.8), permite a los atacantes ejecutar comandos maliciosos de forma remota sobre sistemas Windows que utilizan las configuraciones de idioma chino y japonés. Esta vulnerabilidad fue revelada públicamente a principios de junio de 2024.
Detalles de la Vulnerabilidad
De acuerdo con investigadores de Akamai, Kyle Lefton, Allen West, y Sam Tinklenberg, “CVE-2024-4577 es una falla que permite a un atacante escapar de la línea de comandos y pasar argumentos para que sean interpretados directamente por PHP”. El problema radica en cómo se convierten los caracteres Unicode en ASCII, lo cual deja una brecha significativa que puede ser explotada. La firma de infraestructura web afirmó que comenzó a observar intentos de explotación contra sus servidores honeypot en un plazo de 24 horas desde la divulgación pública de la vulnerabilidad.
Explotaciones Observadas
Las explotaciones observadas incluyen la distribución de un troyano de acceso remoto denominado Gh0st RAT, mineros de criptomonedas como RedTail y XMRig, así como un botnet de DDoS conocido como Muhstik. Los investigadores explicaron que los atacantes enviaron solicitudes abusando del carácter de guion suave con el valor ‘%ADd’ para ejecutar una solicitud wget para un script de shell. Este script, a su vez, realiza una solicitud adicional a una dirección IP basada en Rusia para recuperar una versión x86 del malware de minería de criptomonedas RedTail.
El mes pasado, Imperva también reveló que CVE-2024-4577 está siendo explotado por actores de ransomware TellYouThePass para distribuir una variante .NET del malware de cifrado de archivos.
Recomendaciones y Medidas
Para mitigar esta amenaza, se recomienda a los usuarios y organizaciones que dependen de PHP que actualicen sus instalaciones a la última versión disponible. “El tiempo que tienen los defensores para protegerse después de una nueva divulgación de vulnerabilidad se está reduciendo continuamente, representando un riesgo de seguridad crítico”, señalaron los investigadores. “Esto es especialmente cierto para esta vulnerabilidad en PHP debido a su alta explotabilidad y rápida adopción por parte de los actores maliciosos.”
Aumento de Ataques DDoS
La divulgación de esta vulnerabilidad se suma a un incremento reportado del 20% año tras año en los ataques DDoS durante el segundo trimestre de 2024, según Cloudflare. La empresa mitigó 8.5 millones de ataques DDoS en los primeros seis meses del año, en comparación con los 14 millones de ataques bloqueados durante todo el año 2023. Aunque el número de ataques DDoS en el segundo trimestre disminuyó un 11% con respecto al trimestre anterior, aumentó un 20% respecto al mismo periodo del año anterior.
Los vectores prominentes de ataques DDoS HTTP fueron agentes de usuario falsos y navegadores sin cabeza (29%), atributos HTTP sospechosos (13%) e inundaciones genéricas (7%). China fue el país más atacado, seguido de Turquía, Singapur, Hong Kong, Rusia, Brasil, Tailandia, Canadá, Taiwán y Kirguistán. Los sectores más afectados fueron tecnologías de la información y servicios, telecomunicaciones, bienes de consumo, educación, construcción y alimentos y bebidas.
Además, Argentina se posicionó como la principal fuente de ataques DDoS en el segundo trimestre de 2024, seguida de cerca por Indonesia y Países Bajos.
Para conocer más detalles y análisis profundos sobre esta vulnerabilidad y otras amenazas emergentes, puede consultar el análisis completo de Akamai aquí.
Este artículo subraya la creciente necesidad de mantenerse proactivo y actualizado en el ámbito de la ciberseguridad, implementando medidas preventivas y reaccionando rápidamente ante nuevas amenazas.