Chyba zabezpečení CVE-2024-4577 PHP zneužitá TellYouThePass Ransomware Group

Nedávno identifikovaná zranitelnost v PHP, označená jako CVE-2024-4577, se krátce po svém odhalení stala terčem zneužití ransomwarovou skupinou. Společnost Imperva zabývající se kybernetickou bezpečností zdůrazňuje trend zneužívání a odhaluje, že zranitelnost ovlivňuje servery Windows využívající konfigurace Apache a PHP-CGI.

Chyba v podstatě umožňuje útočníkům vkládat argumenty a spouštět libovolný kód, když jsou povoleny určité kódové stránky, kvůli tomu, že PHP dohlíží na chování Windows 'Best-Fit'. Tato mezera umožňuje, aby byly určité sekvence znaků nesprávně interpretovány jako možnosti PHP, což by mohlo vést ke spuštění neoprávněného kódu.

Dopad CVE-2024-4577 se vztahuje na různé verze PHP na systémech Windows, včetně starších verzí jako 8.0, 7 a 5, což si vyžádalo rychlou akci z PHP s vydáním opravených verzí 8.1.29, 8.2.20 a 8.3. 8. Nicméně, během několika dní po zveřejnění PHP a vydání opravy, skupina TellYouThePass ransomwaru začala zneužívat zranitelné servery, jak si všiml Imperva. Útoky byly mnohostranné, zahrnovaly pokusy nahrát WebShells a nasadit ransomware na cílené systémy.

V těchto útocích aktéři hrozeb spouštěli libovolný PHP kód na kompromitovaných počítačích a využívali „systémovou“ funkci k zahájení spouštění souborů aplikace HTML ze vzdálených serverů. Ransomware nasazený skupinou TellYouThePass je spustitelný soubor .NET, který se po spuštění načte přímo do paměti. Po navázání komunikace se svým příkazovým a řídicím serverem malware pokračuje ve výčtu adresářů, zastavuje běžící procesy, generuje šifrovací klíče a šifruje soubory se specifickými příponami.

Skupina ransomwaru TellYouThePass, aktivní od roku 2019, má za sebou historii zaměřenou na firmy i jednotlivce. Předchozí exploity zahrnují využití zranitelností v Apache Log4j (CVE-2021-44228) a ActiveMQ (CVE-2023-46604) k provádění útoků. S využitím CVE-2024-4577 přidávají do svého arzenálu další nástroj, který podtrhuje přetrvávající výzvy, které představují zranitelnosti v široce používaných softwarových systémech.