11 de julio de 2024Sala de prensaAtaque cibernético / Vulnerabilidad Se ha observado que varios actores de amenazas explotan una falla de seguridad recientemente revelada en PHP para distribuir troyanos de acceso remoto, mineros de criptomonedas y botnets de denegación de servicio distribuido (DDoS). La vulnerabilidad en cuestión es CVE-2024-4577 (puntuación CVSS: 9,8), que permite a un atacante ejecutar de forma remota comandos maliciosos en sistemas Windows utilizando configuraciones regionales de idioma chino y japonés. Se reveló públicamente a principios de junio de 2024. «CVE-2024-4577 es una falla que permite a un atacante escapar de la línea de comandos y pasar argumentos para que PHP los interprete directamente», dijeron los investigadores de Akamai Kyle Lefton, Allen West y Sam Tinklenberg en un análisis del miércoles. «La vulnerabilidad en sí misma radica en cómo se convierten los caracteres Unicode en ASCII». La empresa de infraestructura web dijo que comenzó a observar intentos de explotación contra sus servidores honeypot que apuntaban a la falla de PHP dentro de las 24 horas posteriores a que se hiciera pública. Esto incluía exploits diseñados para entregar un troyano de acceso remoto llamado Gh0st RAT, mineros de criptomonedas como RedTail y XMRig, y una botnet DDoS llamada Muhstik. «El atacante envió una solicitud similar a las otras vistas en operaciones anteriores de RedTail, abusando de la falla de guión suave con ‘%ADd’, para ejecutar una solicitud wget para un script de shell», explicaron los investigadores. «Este script realiza una solicitud de red adicional a la misma dirección IP con sede en Rusia para recuperar una versión x86 del malware de criptominería RedTail». El mes pasado, Imperva también reveló que CVE-2024-4577 está siendo explotado por actores del ransomware TellYouThePass para distribuir una variante .NET del malware de cifrado de archivos. Se recomienda a los usuarios y organizaciones que dependen de PHP que actualicen sus instalaciones a la última versión para protegerse contra las amenazas activas. «El tiempo cada vez menor que tienen los defensores para protegerse después de una nueva divulgación de vulnerabilidad es otro riesgo crítico de seguridad», dijeron los investigadores. «Esto es especialmente cierto para esta vulnerabilidad de PHP debido a su alta explotabilidad y rápida adopción por parte de los actores de amenazas». La revelación se produce cuando Cloudflare dijo que registró un aumento interanual del 20% en los ataques DDoS en el segundo trimestre de 2024 y que mitigó 8,5 millones de ataques DDoS durante los primeros seis meses. En comparación, la compañía bloqueó 14 millones de ataques DDoS durante todo el año 2023. «En general, la cantidad de ataques DDoS en el segundo trimestre disminuyó un 11% intertrimestral, pero aumentó un 20% interanual», dijeron los investigadores Omer Yoachimik y Jorge Pacheco en el informe de amenazas DDoS para el segundo trimestre de 2024. El país más atacado durante el período de tiempo fue China, seguido de Turquía, Singapur, Hong Kong, Rusia, Brasil, Tailandia, Canadá, Taiwán y Kirguistán. Las tecnologías de la información y los servicios, las telecomunicaciones, los bienes de consumo, la educación, la construcción y la alimentación surgieron como los principales sectores objeto de ataques DDoS. «Argentina fue clasificada como la mayor fuente de ataques DDoS en el segundo trimestre de 2024», dijeron los investigadores. «Indonesia le siguió de cerca en segundo lugar, seguida por los Países Bajos en tercer lugar». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.