Il Security Intelligence Response Team (SIRT) di Akamai Technologies ha recentemente scoperto una vulnerabilità critica in PHP, denominata CVE-2004-4577. Questa falla riguarda le installazioni di PHP eseguite in modalità CGI, un protocollo che permette l’interazione tra server web e programmi esterni. Sebbene il problema sia stato individuato principalmente su sistemi Windows con localizzazioni in cinese e giapponese, l’effettiva estensione delle installazioni compromesse è ancora sotto esame.
La vulnerabilità scoperta da Akamai
Entro 24 ore dalla divulgazione della vulnerabilità, il SIRT ha rilevato numerosi tentativi di sfruttamento, dimostrando l’elevata sfruttabilità della falla e la rapidità con cui è stata adottata da parte degli attori delle minacce informatiche. Gli aggressori sfruttano questa vulnerabilità per eseguire codice remoto attraverso l’iniezione di comandi. Gli exploit noti includono campagne di malware come Gh0stRAT, i crypto miner RedTail e XMRig.
La vulnerabilità CVE-2024-4577 è dovuta al modo in cui i gestori PHP e CGI analizzano alcuni caratteri Unicode. Gli aggressori possono inviare codice PHP dannoso al server, che viene interpretato erroneamente a causa di questa falla. L’exploit utilizza il metodo php://input per incorporare codice nel corpo della richiesta HTTP e manipolare opzioni come auto_prepend_file e allow_url_include. Le diverse interpretazioni dei caratteri Unicode, come il “trattino soft” (0xAD) rispetto al trattino standard (0x2D), consentono all’attacco di verificarsi, permettendo agli aggressori di aggiungere argomenti extra alla riga di comando.
Tra gli exploit rilevati, il malware Gh0stRAT è stato identificato negli honeypot di Akamai, utilizzando il packing UPX e manipolando le installazioni HTTP per fornire payload dannosi, compreso il download di ulteriori malware da server remoti. Il RedTail Crypto Miner, invece, distribuisce uno script di shell per eseguire malware di crypto mining, mirato a directory con specifiche autorizzazioni. La campagna Muhstik utilizza uno script di shell per scaricare un file ELF, utilizzato per il crypto mining e attacchi DDoS. Infine, XMRig sfrutta PowerShell per scaricare ed eseguire uno script da un pool di mining remoto, seguito da operazioni di pulizia per nascondere l’attacco.
Akamai raccomanda vivamente alle aziende di applicare immediatamente le patch necessarie e di monitorare i propri sistemi alla ricerca di indicatori di compromissione. I clienti che utilizzano il web application firewall e l’Adaptive Security Engine di Akamai sono automaticamente protetti grazie alle regole e configurazioni specifiche fornite per garantire una solida difesa contro queste minacce.
Rimanere sempre all’erta
Questa scoperta sottolinea l’importanza di una vigilanza continua e di aggiornamenti regolari per mantenere la sicurezza dei sistemi informatici, specialmente in un panorama in cui le minacce sono in costante evoluzione. Le aziende devono rimanere all’erta e pronte ad adottare misure preventive per proteggere le proprie infrastrutture digitali.
