Los laboratorios de Bitdefender Labs han observado un incremento notable en los intentos de explotación dirigidos a una vulnerabilidad crítica en PHP, que permite a los atacantes la ejecución de código malicioso en sistemas operativos Windows.
Esta vulnerabilidad, identificada como CVE-2024-4577, ha sido objeto de explotación activa desde junio de 2024, con los atacantes desplegando principalmente mineros de criptomonedas y herramientas de acceso remoto en servidores comprometidos.
CVE-2024-4577 es una vulnerabilidad grave de inyección de argumentos que afecta a las instalaciones de PHP que se ejecutan en modo CGI en sistemas Windows.
La falla permite a atacantes remotos ejecutar código arbitrario manipulando conversiones de codificación de caracteres.
Cuando Windows intenta «traducir» caracteres no reconocidos a la coincidencia más cercana, las entradas cuidadosamente diseñadas pueden transformarse en instrucciones que ejecutan código en la máquina de destino.
La telemetría de Bitdefender revela una distribución geográfica preocupante de los ataques, con Taiwán experimentando la mayor concentración (54,65%), seguido de Hong Kong (27,06%), Brasil (16,39%), Japón (1,57%) e India (0,33%).
Si bien la vulnerabilidad frecuentemente aprovecha conjuntos de caracteres multibyte comunes en los idiomas asiáticos, los expertos en seguridad enfatizan que los sistemas en todo el mundo siguen en riesgo.
Los investigadores de seguridad han identificado varios patrones de ataque distintos asociados con esta vulnerabilidad. Aproximadamente el 15% de los exploits detectados implican comprobaciones básicas de vulnerabilidad mediante comandos simples como «whoami» para verificar la explotabilidad del sistema.
Otro 15% se centra en el reconocimiento del sistema, donde los atacantes emplean técnicas de «Living Off The Land» utilizando herramientas de línea de comandos integradas en Windows para recopilar información sobre el sistema comprometido.
«El patrón más preocupante que estamos viendo es el despliegue de mineros de criptomonedas, que representa alrededor del 5% de los ataques detectados», señalaron los investigadores de Bitdefender.
El popular software XMRig se está implementando para extraer la criptomoneda Monero, aprovechando los recursos del servidor mientras permanece oculto a las herramientas de monitoreo típicas.
En un desarrollo curioso, los investigadores han documentado intentos de modificar las configuraciones de firewall en servidores vulnerables para bloquear el acceso a IP maliciosas conocidas asociadas con el exploit.
Este patrón inusual sugiere una posible “rivalidad de criptojacking” en la que actores maliciosos compiten por el control de los sistemas comprometidos.
Los comandos descubiertos por Bitdefender muestran a los atacantes creando reglas de firewall para bloquear conexiones entrantes y salientes a direcciones IP específicas, incluidos los servidores de minería Monero conocidos.
Este comportamiento se alinea con observaciones pasadas de competencia entre operadores de criptojacking. Más allá de la minería de criptomonedas, los atacantes están implementando herramientas de acceso remoto como Quasar RAT, lo que les otorga un amplio control sobre los sistemas comprometidos.
Estas herramientas permiten el registro de teclas, la captura de pantalla, la transferencia de archivos y la ejecución remota de comandos.
Los investigadores también han identificado instalaciones de MSI y descargas de FTP desde dominios maliciosos como oldschool[.]best, lo que indica posibles esfuerzos de reclutamiento de botnets.
Mitigaciones
El equipo de desarrollo de PHP ha publicado parches que abordan esta vulnerabilidad en las versiones 8.3.8, 8.2.20 y 8.1.29.
Las organizaciones que ejecutan versiones anteriores, especialmente ramas no compatibles como PHP 8.0, PHP 7 y PHP 5, deben actualizarlas inmediatamente.
Los expertos en seguridad también recomiendan evaluar arquitecturas más seguras que CGI, como Mod-PHP, FastCGI o PHP-FPM.
Además, las organizaciones deberían considerar limitar el uso de PowerShell y otras herramientas administrativas a usuarios privilegiados, ya que la mayoría de las campañas aprovechan estas utilidades integradas con fines maliciosos.
Dado que los afiliados de ransomware y los agentes de acceso inicial buscan activamente vulnerabilidades como CVE-2024-4577, se recomienda a las organizaciones implementar un monitoreo continuo y una búsqueda proactiva de amenazas para detectar posibles compromisos antes de que puedan ocurrir ataques más dañinos.
