248/67 (IT) ประจำวันศุกร์ที่ 12 กรกฎาคม 2567
ตรวจพบผู้ไม่หวังดีหลายกลุ่มกำลังใช้ประโยชน์จากช่องโหว่ความปลอดภัยที่เพิ่งถูกเปิดเผยใน PHP เพื่อส่งโปรแกรมที่เป็นอันตรายต่าง ๆ เช่น Remote Access Trojans (RATs) โปรแกรมขุดคริปโต (Cryptocurrency Miners) และเครือข่ายบอทสำหรับการโจมตีแบบ DDoS (Distributed Denial-of-Service) ช่องโหว่นี้คือ CVE-2024-4577 (คะแนน CVSS: 9.8) ซึ่งอนุญาตให้ผู้โจมตีสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบนระบบ Windows ที่ใช้ภาษาจีนและญี่ปุ่นได้ ช่องโหว่นี้ถูกเปิดเผยสู่สาธารณะในช่วงต้นเดือนมิถุนายน 2024
ทีมวิจัยได้วิเคราะห์และชี้แจงว่า “CVE-2024-4577 เป็นช่องโหว่ที่ช่วยให้ผู้โจมตีสามารถหลบหนีจาก command line และส่งผ่าน arguments เพื่อให้ PHP ทำการประมวลผลโดยตรง ช่องโหว่นี้เกิดจากการแปลงอักขระ Unicode เป็น ASCII” นักวิจัยกล่าวว่าได้เสังเกตเห็นการโจมตีเซิร์ฟเวอร์กับดัก (honeypot servers) ของตนที่มีเป้าหมายคือช่องโหว่ PHP ดังกล่าว ภายใน 24 ชั่วโมงหลังจากมีการเปิดเผยสู่สาธารณะ ซึ่งรวมถึงการโจมตีที่ออกแบบมาเพื่อส่งโปรแกรม RAT ชื่อ Gh0st RAT โปรแกรมขุดคริปโต เช่น RedTail และ XMRig และเครือข่ายบอท DDoS ชื่อ Muhstik ทั้งนี้ เดือนที่แล้ว Imperva ได้เปิดเผยว่า CVE-2024-4577 ถูกใช้โดยกลุ่มแรนซัมแวร์ TellYouThePass เพื่อแจกจ่ายแรนซัมแวร์เวอร์ชัน .NET ที่ใช้เข้ารหัสไฟล์ ดังนั้น ผู้ใช้งานและองค์กรที่พึ่งพา PHP ควรอัปเดตการติดตั้ง PHP เป็นเวอร์ชันล่าสุดเพื่อป้องกันภัยคุกคามเหล่านี้ทันที นักวิจัยกล่าวว่า “เวลาที่ผู้ป้องกันมีเพื่อตอบสนองต่อการเปิดเผยช่องโหว่ใหม่ ๆ กำลังลดลงอย่างต่อเนื่อง ซึ่งเป็นความเสี่ยงด้านความปลอดภัยที่สำคัญ โดยเฉพาะอย่างยิ่งสำหรับช่องโหว่ PHP นี้ เนื่องจากมีความเสี่ยงสูงและถูกนำไปใช้โดยผู้ไม่หวังดีอย่างรวดเร็ว” การเปิดเผยนี้เกิดขึ้นพร้อมกับที่ Cloudflare ระบุว่ามีการโจมตี DDoS เพิ่มขึ้น 20% เมื่อเทียบกับปีที่แล้วในไตรมาสที่สองของปี 2024 และได้บรรเทาการโจมตี DDoS ไปถึง 8.5 ล้านครั้งในช่วงหกเดือนแรกของปี เมื่อเทียบกับการบล็อกการโจมตี 14 ล้านครั้งตลอดปี 2023 ประเทศที่ถูกโจมตีมากที่สุดในช่วงเวลาดังกล่าวคือจีน ตามด้วยตุรกี สิงคโปร์ ฮ่องกง รัสเซีย บราซิล ไทย แคนาดา ไต้หวัน และคีร์กีซสถาน
แหล่งข่าว https://thehackernews.com/2024/07/php-vulnerability-exploited-to-spread.html
