Vulnérabilité PHP : une faille exploitée massive

Des acteurs malveillants exploitent une nouvelle vulnérabilité dans PHP pour installer des logiciels malveillants tels que des chevaux de Troie d’accès à distance, des mineurs de cryptomonnaies et des botnets de déni de service distribué (DDoS).

La faille en question, identifiée comme CVE-2024-4577 (score CVSS : 9,8), permet à un attaquant d’exécuter à distance des commandes malveillantes sur les systèmes Windows utilisant les localisations linguistiques chinoise et japonaise. Cette vulnérabilité a été rendue publique début juin 2024.

D’après les chercheurs d’Akamai, Kyle Lefton, Allen West et Sam Tinklenberg, « CVE-2024-4577 est une faille qui permet à un attaquant de contourner la ligne de commande et de transmettre des arguments qui seront interprétés directement par PHP. La vulnérabilité réside dans la conversion des caractères Unicode en ASCII. »

Exploitation de la vulnérabilité et ses conséquences

Akamai a observé des tentatives d’exploitation sur ses serveurs honeypot (leurres) dans les 24 heures suivant la divulgation de la faille. Parmi les exploits, on a identifié la livraison de chevaux de Troie d’accès à distance comme Gh0st RAT, de mineurs de cryptomonnaies tels que RedTail et XMRig, ainsi qu’un botnet DDoS nommé Muhstik.

Les chercheurs ont ainsi expliqué : « L’attaquant a envoyé une requête similaire à celles observées dans les précédentes opérations RedTail, abusant de la faille du trait d’union doux avec ‘%ADd’, pour exécuter une commande wget visant à récupérer un script shell. Ce script effectue une demande réseau supplémentaire vers la même adresse IP basée en Russie pour récupérer une version x86 du logiciel malveillant de minage de cryptomonnaies RedTail. »

Le mois dernier, il a également été révélé par Imperva que CVE-2024-4577 était exploitée par les acteurs du ransomware TellYouThePass pour distribuer une variante .NET du malware de chiffrement de fichiers.

Recommandations pour se protéger

Les utilisateurs et les organisations qui dépendent de PHP sont fortement encouragés à mettre à jour leurs installations vers la dernière version disponible pour se protéger contre ces menaces actives. Les chercheurs d’Akamai soulignent : « Le temps disponible pour que les défenseurs se protègent après la divulgation d’une nouvelle vulnérabilité ne cesse de diminuer, ce qui constitue un autre risque critique pour la sécurité. Cela est particulièrement vrai pour cette vulnérabilité de PHP en raison de sa forte exploitabilité et de l’adoption rapide par les acteurs malveillants. »

En parallèle, Cloudflare a signalé une augmentation de 20 % des attaques DDoS d’une année sur l’autre lors du second trimestre 2024, avec 8,5 millions d’attaques atténuées durant les six premiers mois. En comparaison, l’entreprise avait bloqué 14 millions d’attaques DDoS pour l’ensemble de l’année 2023.

« Globalement, le nombre d’attaques DDoS au deuxième trimestre a diminué de 11 % par rapport au trimestre précédent, mais a augmenté de 20 % par rapport à l’année précédente, » notent les chercheurs Omer Yoachimik et Jorge Pacheco dans leur rapport sur les menaces DDoS pour le deuxième trimestre 2024.

Les pays les plus ciblés durant cette période étaient la Chine, suivie par la Turquie, Singapour, Hong Kong, la Russie, le Brésil, la Thaïlande, le Canada, Taïwan et le Kirghizistan. Les secteurs les plus visés comprenaient les technologies de l’information et les services, les télécommunications, les biens de consommation, l’éducation, la construction et l’alimentation. Concernant les origines des attaques DDoS, l’Argentine était en tête au second trimestre de 2024, suivie de près par l’Indonésie et les Pays-Bas.

Implications sécuritaires : Ce que vous devez savoir

Cette vulnérabilité PHP représente un risque majeur pour les entreprises et les individus dont les systèmes reposent sur PHP, surtout si ces systèmes intègrent des localisations linguistiques spécifiques comme le chinois ou le japonais. Compte tenu de la rapidité avec laquelle cette faille est exploitée, les impacts potentiels incluent la perte de données sensibles, des interruptions de service dues à des attaques DDoS, et une augmentation des coûts opérationnels pour gérer et atténuer ces risques. De plus, l’infiltration de logiciels malveillants tels que les mineurs de cryptomonnaies peut entraîner une augmentation significative de la consommation de ressources informatiques, perturbant d’autres opérations essentielles.

Protégez-vous : Étapes clés contre les nouvelles vulnérabilités

Pour se prémunir contre les risques liés à la vulnérabilité CVE-2024-4577, il est impératif d’agir rapidement. Voici les mesures recommandées :

  • Mise à jour immédiate : Assurez-vous que toutes les versions de PHP utilisées sont mises à jour vers la version la plus récente. Pour comprendre l’importance de cette mesure, consultez notre dossier sur l’ingénierie sociale et comment s’en protéger.
  • Surveillance active : Déployez des solutions de surveillance pour détecter toute activité suspecte sur vos systèmes. En savoir plus sur les fuites de données et comment prévenir les violations de sécurité dans notre guide complet.
  • Formation du personnel : Sensibilisez vos équipes aux risques potentiels et aux bonnes pratiques de cybersécurité. Découvrez comment reconnaître et contrer le phishing en 2024 pour éviter les pièges courants.
  • Utilisation de pare-feux et d’IDS/IPS : Utilisez des pare-feux d’application Web et des systèmes de détection/prévention d’intrusion pour ajouter une couche de protection supplémentaire. Consultez notre comparatif sur les VPN gratuits et payants pour choisir la meilleure protection possible.

En suivant ces étapes, vous pourrez réduire significativement les risques associés à cette vulnérabilité critique.

Références