Multi-License Discount Quote
Computer Security Vulnerabilitat PHP CVE-2024-4577 explotada pel grup de...

Vulnerabilitat PHP CVE-2024-4577 explotada pel grup de programari de ransomware TellYouThePass

El Mura el Computer Security
Traduir a:
Català

Una vulnerabilitat identificada recentment en PHP, designada com a CVE-2024-4577, s'ha convertit en l'objectiu de l'explotació per part d'un grup de ransomware poc després de la seva divulgació. L'empresa de ciberseguretat Imperva destaca la tendència d'explotació, revelant que la vulnerabilitat afecta els servidors de Windows que utilitzen configuracions Apache i PHP-CGI.

Essencialment, el defecte permet als atacants injectar arguments i executar codi arbitrari quan s'habiliten determinades pàgines de codi, a causa de la supervisió de PHP del comportament "Best Fit" de Windows. Aquesta llacuna permet que seqüències de caràcters específiques s'interpretin erròniament com a opcions PHP, la qual cosa pot conduir a l'execució de codi no autoritzat.

L'impacte de CVE-2024-4577 abasta diverses versions de PHP als sistemes Windows, incloses les versions anteriors com la 8.0, 7 i 5, provocant una acció ràpida de PHP amb el llançament de les versions 8.1.29, 8.2.20 i 8.3. 8. Tanmateix, pocs dies després de la divulgació i el llançament del pegat de PHP, el grup de programari de ransomware TellYouThePass va començar a explotar servidors vulnerables, tal com va observar Imperva. Els atacs van ser polièdrics, i van implicar intents de carregar WebShells i desplegar ransomware en sistemes dirigits.

En aquests atacs, els actors d'amenaça executaven codi PHP arbitrari en màquines compromeses, aprofitant la funció "sistema" per iniciar l'execució de fitxers d'aplicacions HTML des de servidors remots. El ransomware desplegat pel grup TellYouThePass és un executable .NET, carregat directament a la memòria després de l'execució. En establir la comunicació amb el seu servidor d'ordres i control, el programari maliciós procedeix a enumerar directoris, aturar els processos en execució, generar claus de xifratge i xifrar fitxers amb extensions específiques.

El grup de ransomware TellYouThePass, actiu des del 2019, té un historial d'orientació tant a empreses com a particulars. Els exploits anteriors inclouen l'aprofitament de vulnerabilitats a Apache Log4j (CVE-2021-44228) i ActiveMQ (CVE-2023-46604) per perpetrar atacs. Amb l'explotació de CVE-2024-4577, afegeixen una altra eina al seu arsenal, subratllant els reptes permanents que plantegen les vulnerabilitats en sistemes de programari àmpliament utilitzats.

Carregant...