\u00a0<\/p>\n
![\"PHP](\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgdL0p6dNeoFDz_J6SoxjaM3puIrRd3yP4OXh0TWcWTkPrmaYD0KaIIaKSzhNYO6BjsMT1Z6R3GFcL8C2H8P0PeDVgqvOLSQ0IgZ0ooeOFEGPndADTVrdPjd_xXjpWOqB1PrtY8XOd6EMsvSquK9c1a_7pAQEAZetlFA7eIgH3NnyKHqvucqZNU9atvum1o\/s728-rw-e365\/php.png\")
<\/p>\n
\u00a0<\/h2>\nDetalhes da vulnerabilidade<\/h2>\n
\u00a0<\/p>\n
De acordo com uma an\u00e1lise conduzida pelos pesquisadores da Akamai, Kyle Lefton, Allen West e Sam Tinklenberg, “CVE-2024-4577 \u00e9 uma falha que permite que um invasor escape da linha de comando e passe argumentos para serem interpretados diretamente pelo PHP”. O problema est\u00e1 na convers\u00e3o de caracteres Unicode para ASCII, o que abre uma porta para a explora\u00e7\u00e3o.<\/p>\n
\u00a0<\/p>\n
A Akamai relatou que come\u00e7ou a observar tentativas de explora\u00e7\u00e3o contra seus servidores honeypot apenas 24 horas ap\u00f3s a vulnerabilidade ter sido divulgada. Entre os ataques observados, estavam tentativas de entrega do trojan de acesso remoto Gh0st RAT<\/strong>, mineradores de criptomoedas como RedTail<\/strong> e XMRig<\/strong>, al\u00e9m de um botnet DDoS conhecido como Muhstik<\/strong>.<\/p>\n \u00a0<\/p>\n Os pesquisadores explicaram que “o invasor enviou uma solicita\u00e7\u00e3o semelhante \u00e0s outras vistas em opera\u00e7\u00f5es anteriores do RedTail, abusando da falha com o uso de ‘%ADd’, para executar uma requisi\u00e7\u00e3o wget para um script shell”. Este script, por sua vez, faz outra solicita\u00e7\u00e3o de rede para o mesmo endere\u00e7o IP baseado na R\u00fassia, a fim de obter uma vers\u00e3o x86 do malware minerador de criptomoedas RedTail.<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n Al\u00e9m disso, em julho de 2024, a Imperva revelou que a vulnerabilidade CVE-2024-4577 estava sendo explorada por atores maliciosos por tr\u00e1s do ransomware TellYouThePass<\/strong> para distribuir uma variante em .NET do malware de criptografia de arquivos. Estes ataques refor\u00e7am a necessidade de que organiza\u00e7\u00f5es e usu\u00e1rios que utilizam PHP atualizem suas instala\u00e7\u00f5es para a vers\u00e3o mais recente, a fim de se protegerem contra essas amea\u00e7as em constante evolu\u00e7\u00e3o.<\/p>\n \u00a0<\/p>\n Os pesquisadores alertaram que “o tempo que os defensores t\u00eam para se protegerem ap\u00f3s a divulga\u00e7\u00e3o de uma nova vulnerabilidade est\u00e1 se tornando cada vez menor, e isso representa um risco de seguran\u00e7a cr\u00edtico”. Isso \u00e9 especialmente verdadeiro para esta falha no PHP, dada sua alta explorabilidade e r\u00e1pida ado\u00e7\u00e3o por criminosos cibern\u00e9ticos.<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n Essas descobertas surgem no mesmo momento em que a Cloudflare divulgou um aumento de 20% nos ataques DDoS no segundo trimestre de 2024, em compara\u00e7\u00e3o ao mesmo per\u00edodo do ano anterior. A empresa relatou que mitigou 8,5 milh\u00f5es de ataques DDoS nos primeiros seis meses de 2024, em compara\u00e7\u00e3o com os 14 milh\u00f5es de ataques bloqueados ao longo de todo o ano de 2023.<\/p>\n \u00a0<\/p>\n Embora o n\u00famero total de ataques DDoS no segundo trimestre tenha diminu\u00eddo 11% em rela\u00e7\u00e3o ao trimestre anterior, houve um aumento de 20% em compara\u00e7\u00e3o ao ano anterior. A Cloudflare tamb\u00e9m destacou que botnets conhecidos de DDoS foram respons\u00e1veis por metade de todos os ataques DDoS em HTTP. Outros vetores de ataque comuns inclu\u00edam agentes de usu\u00e1rio falsos e navegadores sem interface (29%), atributos HTTP suspeitos (13%) e inunda\u00e7\u00f5es gen\u00e9ricas (7%).<\/p>\n \u00a0<\/p>\n Entre os pa\u00edses mais atacados estavam a China, seguida por Turquia, Singapura, Hong Kong, R\u00fassia, Brasil, Tail\u00e2ndia, Canad\u00e1, Taiwan e Quirguist\u00e3o. Os setores mais visados por ataques DDoS incluem tecnologia da informa\u00e7\u00e3o e servi\u00e7os, telecomunica\u00e7\u00f5es, bens de consumo, educa\u00e7\u00e3o, constru\u00e7\u00e3o civil e alimenta\u00e7\u00e3o e bebidas.<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n Outro dado relevante \u00e9 que a Argentina foi classificada como a maior fonte de ataques DDoS no segundo trimestre de 2024, seguida de perto pela Indon\u00e9sia, com os Pa\u00edses Baixos ocupando a terceira posi\u00e7\u00e3o. A Cloudflare tamb\u00e9m observou que a Ucr\u00e2nia ficou na 103\u00aa posi\u00e7\u00e3o entre os pa\u00edses mais atacados no mesmo per\u00edodo, com base em par\u00e2metros como volume total de ataques e porcentagens do tr\u00e1fego.<\/p>\n \u00a0<\/p>\n No entanto, quando analisados apenas os ataques DDoS direcionados \u00e0 Ucr\u00e2nia, os pesquisadores notaram um aumento gradual dos ataques ao longo dos \u00faltimos quatro trimestres. Esses n\u00fameros se assemelham aos n\u00edveis observados no in\u00edcio da invas\u00e3o russa em larga escala da Ucr\u00e2nia em 2022. No segundo trimestre de 2024, a Cloudflare mitigou 143 bilh\u00f5es de requisi\u00e7\u00f5es DDoS contra a Ucr\u00e2nia, representando aproximadamente 5,8% de todo o tr\u00e1fego da web destinado ao pa\u00eds, um aumento de 75% em rela\u00e7\u00e3o ao trimestre anterior e um aumento impressionante de 625% ano a ano.<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n Com a crescente sofistica\u00e7\u00e3o dos ataques e a rapidez com que novas vulnerabilidades s\u00e3o exploradas, como no caso da CVE-2024-4577, \u00e9 fundamental que empresas e indiv\u00edduos permane\u00e7am atentos e adotem medidas proativas para proteger seus sistemas. A atualiza\u00e7\u00e3o constante de softwares e a implementa\u00e7\u00e3o de pr\u00e1ticas de seguran\u00e7a robustas s\u00e3o essenciais para mitigar os riscos e manter a integridade de seus sistemas e dados. O cen\u00e1rio de amea\u00e7as cibern\u00e9ticas continua a evoluir rapidamente, e a defesa contra esses ataques requer um esfor\u00e7o cont\u00ednuo e coordenado.<\/p>\n \u00a0<\/p>\nExplora\u00e7\u00e3o por v\u00e1rios grupos de amea\u00e7as<\/h2>\n
Ataques DDoS em crescimento<\/h2>\n
Fontes e pa\u00edses de origem dos ataques<\/h2>\n
Conclus\u00e3o<\/h2>\n