Lỗ hổng có định danh CVE-2024-4577 (điểm CVSS: 9,8), được công bố vào đầu tháng 6 năm 2024, cho phép kẻ tấn công thực thi lệnh từ xa trên hệ thống Windows bằng ngôn ngữ tiếng Trung và tiếng Nhật.

“Lỗ hổng CVE-2024-4577 cho phép kẻ tấn công thoát (escape) khỏi dòng lệnh và truyền các đối số được PHP thực thi (interpreted) trực tiếp”, các nhà nghiên cứu Kyle Lefton, Allen West và Sam Tinklenberg của Akamai cho biết. “Bản thân lỗ hổng nằm ở cách các ký tự Unicode được chuyển đổi thành ASCII”.

Akamai cho biết họ đã bắt đầu quan sát thấy các hoạt động khai thác đối với các máy chủ honeypot của họ nhắm vào lỗ hổng PHP trong vòng 24 giờ kể từ khi thông tin lỗ hổng được công khai.

Trong đó bao gồm các hoạt động khai thác lỗ hổng để phát tán trojan truy cập từ xa Gh0st RAT, các công cụ khai thác tiền điện tử như RedTail và XMRig cũng như một mạng botnet DDoS có tên Muhstik.

Tháng trước, Imperva cũng tiết lộ rằng CVE-2024-4577 đang bị các tác nhân ransomware TellYouThePass khai thác để phát tán một biến thể .NET của phần mềm mã hóa tệp độc hại.

Người dùng và tổ chức sử dụng PHP nên cập nhật các bản cài đặt của họ lên phiên bản mới nhất để bảo vệ khỏi các mối đe dọa đang hoạt động.

Các nhà nghiên cứu cho biết: “Thời gian mà đội phòng thủ có để bảo vệ bản thân sau khi một lỗ hổng mới được tiết lộ đang ngày càng rút ngắn là một rủi ro an ninh nghiêm trọng. Điều này đặc biệt đúng đối với lỗ hổng PHP này vì khả năng khai thác cao và sự tiếp cận nhanh chóng bởi các tác nhân đe dọa”.

Tiết lộ này được đưa ra khi Cloudflare cho biết họ đã ghi nhận mức tăng 20% các cuộc tấn công DDoS so với cùng kỳ năm ngoái trong quý hai năm 2024 và đã giảm thiểu 8,5 triệu cuộc tấn công DDoS trong sáu tháng đầu năm. Trong khi đó, công ty đã chặn 14 triệu cuộc tấn công DDoS trong năm 2023.