Una nueva vulnerabilidad crítica en PHP, identificada como CVE-2024-4577, ha sido explotada rápidamente tras su revelación pública. Este fallo de seguridad afecta principalmente a las instalaciones de PHP en modo CGI en sistemas operativos Windows, especialmente aquellos configurados en locales de idioma chino y japonés. La vulnerabilidad permite la ejecución remota de código (RCE) mediante una explotación sencilla utilizando php://input, auto_prepend_file, y allow_url_include.
El Equipo de Respuesta de Inteligencia de Seguridad de Akamai (SIRT, por sus siglas en inglés) ha estado monitorizando la actividad en torno a esta vulnerabilidad desde su divulgación en junio de 2024. Según sus observaciones, los intentos de explotación comenzaron solo un día después del anuncio, evidenciando la alta criticidad y facilidad de adopción por parte de los actores maliciosos.
Los ataques observados incluyen inyecciones de comandos y múltiples campañas de malware, tales como Gh0st RAT, mineros de criptomonedas RedTail, y XMRig. Estos ataques han sido mitigados automáticamente por el protector de aplicaciones y API de Akamai.
Detalles Técnicos del Exploit
El exploit de CVE-2024-4577 permite a un atacante enviar código PHP al servidor para que sea interpretado incorrectamente. Utilizando php://input para incrustar código en el cuerpo de la solicitud y opciones como auto_prepend_file y allow_url_include, los atacantes pueden ejecutar código remoto de manera efectiva.
El proceso de explotación involucra una falla en la conversión de caracteres Unicode a ASCII, permitiendo a los atacantes pasar argumentos adicionales al proceso de PHP mediante el uso de un guion suave (soft hyphen, 0xAD) en lugar de un guion estándar (0x2D).
Ejemplos de Explotación Observada
- Gh0st RAT Malware: En menos de 24 horas tras la divulgación, se observaron intentos de explotación que incluían la descarga y ejecución de malware Gh0st RAT, un conocido RAT (Remote Access Tool) empaquetado con UPX.
- RedTail Cryptominer: Operaciones de criptominería RedTail también aprovecharon esta vulnerabilidad, enviando solicitudes que ejecutaban scripts de shell para descargar y ejecutar el malware minero.
- Muhstik Malware: Se identificaron campañas utilizando scripts de shell para descargar y ejecutar versiones del malware Muhstik, orientadas a dispositivos IoT y servidores Linux.
- XMRig: Otra campaña involucraba la descarga y ejecución de XMRig, un conocido minero de criptomonedas, a través de comandos PowerShell.
Medidas de Mitigación
Akamai ha recomendado aplicar rápidamente los parches necesarios para los sistemas afectados y monitorizar indicadores de compromiso (IOCs). Los clientes que utilizan el motor de seguridad adaptativa de Akamai en modo automático tienen mitigaciones automáticamente habilitadas contra estos tipos de ataques.
La velocidad con la que se han explotado vulnerabilidades como CVE-2024-4577 subraya la necesidad de una respuesta rápida y efectiva ante nuevas amenazas de seguridad. El SIRT de Akamai continuará monitorizando y reportando sobre estas amenazas para aumentar la conciencia entre sus clientes y la comunidad de seguridad en general.
Para más información y detalles técnicos, visite el blog de Akamai.
