Eine kritische Sicherheitslücke in PHP, identifiziert als CVE-2024-4577, wird nur wenige Tage nach ihrer öffentlichen Bekanntgabe im Juni 2024 aktiv von Cyberkriminellen ausgenutzt. Diese Schwachstelle betrifft PHP-Installationen, die im CGI-Modus laufen, vor allem auf Windows-Systemen mit chinesischen und japanischen Sprachlokalisierungen, könnte jedoch auch andere Setups betreffen.

Das Akamai Security Intelligence Response Team (SIRT) hat zahlreiche Exploit-Versuche innerhalb von 24 Stunden nach der Offenlegung der Schwachstelle registriert. Die einfache Ausnutzung hat zu einer schnellen Adoption durch verschiedene Bedrohungsakteure geführt.

„Ein entscheidender Faktor für die Kritikalität ist die Einfachheit der Ausnutzung, und diese Schwachstelle ist für Bedrohungsakteure ziemlich unkompliziert auszuführen. Um eine Remote-Code-Ausführung (RCE) zu erreichen, muss ein Angreifer lediglich PHP-Code an den Server senden und ihn (falsch) interpretieren lassen“, erklärte Akamai.

Malware-Kampagnen nutzen die Schwachstelle aus

Akamai-Forscher haben beobachtet, dass die Schwachstelle in mehreren Malware-Kampagnen missbraucht wird, darunter:

  • Gh0st RAT: Ein 15 Jahre altes Remote-Access-Tool, das in Angriffen von einem Server in Deutschland eingesetzt wurde. Die Malware benannte sich um und kommunizierte mit einem Command-and-Control-Server.
  • RedTail Cryptominer: Eine Krypto-Mining-Operation, die die Schwachstelle ausnutzt, um ein Shell-Skript herunterzuladen und auszuführen, das x86-RedTail-Cryptomining-Malware herunterlädt.
  • Muhstik Malware: Eine weitere Kampagne, die eine Variante der Muhstik-Malware herunterlud, die IoT-Geräte und Linux-Server für Krypto-Mining und DDoS-Angriffe ins Visier nimmt.
  • XMRig: PowerShell wurde verwendet, um ein Skript herunterzuladen und auszuführen, das den XMRig-Cryptominer von einem Remote-Mining-Pool startet.

Innerhalb von 24 Stunden nach der Offenlegung wurden Gh0st RAT Malware-Versuche beobachtet, die diese Schwachstelle ausnutzten. Die Malware, eine UPX-gepackte Windows-Executable, kommuniziert mit einem Command-and-Control-Server in Deutschland und benennt sich zur Tarnung um.

RedTail Cryptominer

SIRT-Honeypots entdeckten eine RedTail-Kryptomining-Operation, die CVE-2024-4577 ausnutzt. Der Angreifer verwendete ein Shell-Skript, um die Krypto-Mining-Malware von einer IP-Adresse in Russland herunterzuladen und auszuführen.

Muhstik Malware

Eine weitere Kampagne umfasste ein Shell-Skript, das Muhstik-Malware herunterlud, die IoT-Geräte und Linux-Server für Krypto-Mining und DDoS-Angriffe ins Visier nimmt.

XMRig

Eine vierte Kampagne beinhaltete XMRig, wobei PowerShell-Befehle verwendet wurden, um ein Skript herunterzuladen und auszuführen, das den Krypto-Miner von einem Remote-Mining-Pool startet.

Empfehlungen zur Schadensbegrenzung

Akamai rät betroffenen Organisationen, ihre Systeme umgehend zu patchen und auf Anzeichen einer Kompromittierung zu überwachen. Benutzer, die den manuellen Modus verwenden, sollten sicherstellen, dass die Gruppe für Command Injection Attack oder spezifische relevante Regeln auf „Deny“ gestellt sind. Akamai hat einen Anstieg der Scans für diese Schwachstelle beobachtet und überwacht die Situation weiterhin genau.

Indikatoren für Kompromittierung für SOC/DFIR-Teams

Gh0st RAT

  • SHA256-Hash: A646ebf85afa29ae1c77458c575b5e4b0b145d813db028435d33b522edccdc0e
  • Dateinamen: A646ebf85afa29ae1c77458c575b5e4b0b145d813db028435d33b522edccdc0e.exe, phps.exe, Iqgqosc.exe
  • IPv4-Adressen: 147.50.253[.]109, 146.19.100[.]7, 23.237.182[.]122

RedTail

  • IPv4-Adressen: 185.172.128[.]93
  • SHA256-Hashes: 2c602147c727621c5e98525466b8ea78832abe2c3de10f0b33ce9a4adea205eb, 0d70a044732a77957eaaf28d9574d75da54ae430d8ad2e4049bd182e13967a6f

Die Entdeckung der CVE-2024-4577 Schwachstelle unterstreicht die Bedeutung regelmäßiger Updates und Sicherheitsbewertungen für Softwareabhängigkeiten. Organisationen, die PHP nutzen, sollten die neuesten Versionen umgehend aktualisieren und ihre Installationen überprüfen, um potenzielle Ausnutzungen zu verhindern. Ein proaktiver Sicherheitsansatz ist unerlässlich, um die Integrität und Sicherheit von Systemen zu gewährleisten.

4o