Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

PHP-Schwachstelle wird aktiv ausgenutzt

Mehrere Bedrohungsakteure nutzen eine kürzlich entdeckte Sicherheitslücke in PHP, um Fernzugriffstrojaner, Kryptowährungs-Miner und DDoS-Botnets zu verbreiten.

Bedrohungen
Lesezeit 3 Min.

Die Sicherheitslücke CVE-2024-4577 (CVSS-Score: 9,8) ermöglicht es einem Angreifer, auf Windows-Systemen mit chinesischen und japanischen Spracheinstellungen aus der Ferne bösartige Befehle auszuführen. Diese Schwachstelle wurde Anfang Juni 2024 öffentlich bekannt. „CVE-2024-4577 ist ein Fehler, der es einem Angreifer ermöglicht, aus der Kommandozeile auszubrechen und Argumente direkt an PHP zu übergeben“, erklärten die Akamai-Experten Kyle Lefton, Allen West und Sam Tinklenberg in einer Analyse. „Die Schwachstelle liegt in der Konvertierung von Unicode-Zeichen in ASCII.“

Das Webinfrastrukturunternehmen Akamai beobachtete innerhalb von 24 Stunden nach der Veröffentlichung der Schwachstelle erste Exploit-Versuche gegen seine Honeypot-Server, welche die PHP-Schwachstelle ausnutzten. Diese Exploits zielten darauf ab, den Remote-Access-Trojaner Gh0st RAT, Kryptowährungsminer wie RedTail und XMRig, sowie ein DDoS-Botnetz, das als Muhstik bekannt ist, zu installieren. „Der Angreifer sendete eine ähnliche Anfrage wie bei früheren RedTail-Angriffen und nutzte die Schwachstelle des weichen Bindestrichs mit ‚ ProzentADd‘, um eine wget-Anfrage für ein Shell-Skript auszuführen“, erklärten die Akamai-Leute. „Dieses Skript stellt eine weitere Netzwerkanfrage an dieselbe IP-Adresse in Russland, um eine x86-Version der RedTail-Kryptomining-Malware herunterzuladen.“

Die Schwachstelle des „weichen Bindestrichs“ (soft hyphen) bezieht sich auf eine Sicherheitslücke, bei der der weiche Bindestrich (ein unsichtbares Zeichen, das in Texten verwendet wird, um den Umbruch zu steuern) in einer Art und Weise manipuliert wird, um schädliche Befehle oder Daten in ein System einzuschleusen. In diesem spezifischen Fall:

  1. Soft Hyphen: Das Zeichen „ ProzentAD“ entspricht einem weichen Bindestrich in der URL-Codierung.
  2. Missbrauch der Schwachstelle: Angreifer nutzen das Zeichen, um die normale Verarbeitung von Daten zu stören und schädliche Befehle einzuschleusen, die dann vom System als legitime Befehle ausgeführt werden.

Die Angreifer senden eine speziell gestaltete Anfrage, die das Zeichen „ ProzentADd“ enthält, um eine wget-Anfrage auszulösen. wget ist ein Programm zum Herunterladen von Dateien aus dem Internet. Diese Anfrage lädt ein Shell-Skript herunter, das weitere schädliche Aktionen ausführt, wie das Abrufen und Installieren von Malware. Die Schwachstelle liegt darin, dass das System die Zeichen nicht korrekt verarbeitet und dadurch Angreifern ermöglicht, schädliche Befehle einzuschleusen und auszuführen.

Im vergangenen Monat berichtete Imperva, dass CVE-2024-4577 auch von den TellYouThePass-Ransomware-Akteuren ausgenutzt wird, um eine .NET-Variante der dateiverschlüsselnden Malware zu verbreiten.

Nutzern und Organisationen, die auf PHP angewiesen sind, wird empfohlen, ihre Installationen auf die neueste Version zu aktualisieren, um sich vor aktiven Bedrohungen zu schützen. „Die ständig kürzer werdende Zeit, die Verteidiger nach der Veröffentlichung einer neuen Sicherheitslücke haben, ist ein weiteres kritisches Sicherheitsrisiko“, so Akamai. „Dies gilt besonders für diese PHP-Schwachstelle – vor allem wegen ihrer hohen Ausnutzbarkeit und der schnellen Adoption durch Bedrohungsakteure.“

Anstieg der DDoS-Angriffe

Parallel zu diesen Entwicklungen verzeichnet Cloudflare im zweiten Quartal 2024 im Jahresvergleich einen Anstieg der DDoS-Angriffe um 20 Prozent. In den ersten sechs Monaten hatte das Unternehmen 8,5 Millionen DDoS-Angriffe abgewehrt. Zum Vergleich: Im gesamten Jahr 2023 blockierte das Unternehmen 14 Millionen DDoS-Angriffe. „Insgesamt ist die Anzahl der DDoS-Angriffe im zweiten Quartal im Vergleich zum Vorquartal um 11 Prozent gesunken, aber im Jahresvergleich um 20 Prozent gestiegen“, so die Forscher Omer Yoachimik und Jorge Pacheco im DDoS-Bedrohungsbericht für das zweite Quartal 2024.

Bekannte DDoS-Botnets machten die Hälfte aller HTTP-DDoS-Angriffe aus. Weitere prominente Angriffsvektoren waren gefälschte User Agents und Headless-Browser (29 Prozent), verdächtige HTTP-Attribute (13 Prozent) und allgemeine Überflutungen (7 Prozent). Das am meisten angegriffene Land in diesem Zeitraum war China, gefolgt von der Türkei, Singapur, Hongkong, Russland, Brasilien, Thailand, Kanada, Taiwan und Kirgisistan. Informationstechnologie und -dienste, Telekommunikation, Konsumgüter, Bildung, Bauwesen sowie Lebensmittel und Getränke waren die am häufigsten von DDoS-Angriffen betroffenen Sektoren. „Argentinien wurde im zweiten Quartal 2024 als größte Quelle für DDoS-Angriffe eingestuft“, so Cloudflare. „Indonesien folgte dicht auf dem zweiten Platz, während die Niederlande auf dem dritten Platz rangieren.“

Diesen Beitrag teilen: