CVE-2024-4577 PHP уязвимост, използвана от TellYouThePass рансъмуер група

Наскоро идентифицирана уязвимост в PHP, обозначена като CVE-2024-4577, стана цел на експлоатация от група рансъмуер малко след разкриването ѝ. Фирмата за киберсигурност Imperva подчертава тенденцията на експлоатация, разкривайки, че уязвимостта засяга Windows сървъри, използващи Apache и PHP-CGI конфигурации.

По същество, пропускът позволява на атакуващите да инжектират аргументи и да изпълняват произволен код, когато определени кодови страници са активирани, поради надзора на PHP върху поведението на Windows „Best-Fit“. Тази вратичка позволява специфични последователности от символи да бъдат погрешно интерпретирани като PHP опции, което потенциално води до изпълнение на неоторизиран код.

Въздействието на CVE-2024-4577 обхваща различни версии на PHP на Windows системи, включително по-стари версии като 8.0, 7 и 5, което подтиква PHP към бързи действия с пускането на коригирани версии 8.1.29, 8.2.20 и 8.3. 8. Въпреки това, в рамките на дни след разкриването на PHP и пускането на корекцията, групата TellYouThePass рансъмуер започна да експлоатира уязвими сървъри, както се наблюдава от Imperva. Атаките бяха многостранни, включващи опити за качване на WebShells и внедряване на рансъмуер върху целеви системи.

При тези атаки участниците в заплахата изпълняват произволен PHP код на компрометирани машини, като използват функцията „система“, за да инициират изпълнението на HTML файлове на приложения от отдалечени сървъри. Рансъмуерът, внедрен от групата TellYouThePass, е .NET изпълним файл, зареден директно в паметта при изпълнение. При установяване на комуникация със своя командно-контролен сървър, зловредният софтуер продължава да изброява директории, спира работещи процеси, генерира ключове за криптиране и криптира файлове със специфични разширения.

Групата за рансъмуер TellYouThePass, активна от 2019 г., има история на насочване както към бизнеси, така и към физически лица. Предишни експлойти включват използване на уязвимости в Apache Log4j (CVE-2021-44228) и ActiveMQ (CVE-2023-46604) за извършване на атаки. С използването на CVE-2024-4577 те добавят още един инструмент към своя арсенал, подчертавайки продължаващите предизвикателства, породени от уязвимостите в широко използваните софтуерни системи.