Last Updated on 2024-07-11 17:07 by admin
複数の脅威アクターが、PHPの最近公開されたセキュリティ脆弱性を悪用して、リモートアクセストロイの木馬、暗号通貨マイナー、および分散型サービス拒否(DDoS)ボットネットを配布していることが観察された。この脆弱性はCVE-2024-4577(CVSSスコア:9.8)と識別され、攻撃者が中国語および日本語ロケールを使用するWindowsシステム上で悪意のあるコマンドを遠隔実行できるようにする。CVE-2024-4577は2024年6月初旬に公開された。この脆弱性は、Unicode文字がASCIIに変換される方法に問題があるために発生する。
Akamaiの研究者たちは、このPHPの脆弱性を悪用する試みが公知になってから24時間以内に、自社のハニーポットサーバーを対象とした攻撃を観察し始めたと述べた。これには、Gh0st RATと呼ばれるリモートアクセストロイの木馬、RedTailやXMRigのような暗号通貨マイナー、そしてMuhstikと名付けられたDDoSボットネットを配布するための攻撃が含まれていた。また、ImpervaはCVE-2024-4577がTellYouThePassランサムウェアアクターによって悪用され、ファイル暗号化マルウェアの.NETバリアントを配布していることを明らかにした。
PHPを使用するユーザーや組織には、最新バージョンへの更新によってアクティブな脅威から保護することが推奨される。Cloudflareは、2024年の第2四半期にDDoS攻撃が前年比20%増加し、前半期に850万件のDDoS攻撃を緩和したと報告した。最も攻撃を受けた国は中国であり、情報技術とサービス、通信、消費財、教育、建設、食品がDDoS攻撃の主な対象セクターとして挙げられた。
【ニュース解説】
最近、PHPのセキュリティ脆弱性(CVE-2024-4577、CVSSスコア:9.8)が悪用され、リモートアクセストロイの木馬、暗号通貨マイナー、分散型サービス拒否(DDoS)ボットネットの配布に利用されていることが明らかになりました。この脆弱性は、特定のUnicode文字がASCIIに変換される際の問題を悪用し、攻撃者が中国語や日本語ロケールを使用するWindowsシステム上で悪意のあるコマンドを遠隔実行できるようにするものです。この問題は2024年6月初旬に公開されました。
Akamaiの研究者たちは、この脆弱性が公知になってから24時間以内に、自社のハニーポットサーバーを対象とした悪用試みを観察しました。攻撃には、Gh0st RAT、RedTail、XMRig、Muhstikといった様々なマルウェアが含まれていました。さらに、Impervaはこの脆弱性がTellYouThePassランサムウェアによっても悪用されていることを報告しています。
この脆弱性の発見と悪用は、PHPを使用するユーザーや組織にとって重要なセキュリティ上の警告です。最新バージョンへの更新を通じて保護を強化することが推奨されます。また、Cloudflareは2024年の第2四半期にDDoS攻撃が前年比20%増加したと報告しており、この脆弱性の悪用がDDoS攻撃の増加に一役買っている可能性があります。
この脆弱性の悪用は、サイバーセキュリティの世界におけるいくつかの重要なポイントを浮き彫りにします。まず、Unicode文字の扱いに関する複雑さが、意図しないセキュリティリスクを生み出す可能性があることです。また、新たに発見された脆弱性が迅速に悪用される現状は、セキュリティ対策の迅速な更新と適用の重要性を示しています。
このような脆弱性の悪用は、個人や組織にとって重大なセキュリティリスクをもたらします。リモートアクセストロイの木馬によるデータの盗難、暗号通貨マイナーによるシステムリソースの不正使用、DDoS攻撃によるサービスの停止は、ビジネスにとって深刻な損害を引き起こす可能性があります。
この問題への対応としては、PHPの最新バージョンへの迅速な更新が最も効果的です。また、セキュリティシステムの定期的な更新と監視を行い、未知の脆弱性からも保護するための対策を講じることが重要です。長期的には、ソフトウェア開発者とセキュリティ研究者は、Unicode文字の扱いを含むソフトウェアの設計と実装において、セキュリティを最優先事項として考慮する必要があります。
from PHP Vulnerability Exploited to Spread Malware and Launch DDoS Attacks.