CVE-2024-4577 PHP-sårbarhed udnyttet af TellYouThePass Ransomware Group

En nyligt identificeret sårbarhed i PHP, udpeget som CVE-2024-4577, er blevet målet for udnyttelse af en ransomware- gruppe kort efter dens offentliggørelse. Cybersikkerhedsfirmaet Imperva fremhæver udnyttelsestrenden og afslører, at sårbarheden påvirker Windows-servere, der bruger Apache- og PHP-CGI-konfigurationer.

Grundlæggende tillader fejlen angribere at injicere argumenter og udføre vilkårlig kode, når visse kodesider er aktiveret, på grund af PHP's tilsyn med Windows' 'Best-Fit'-adfærd. Dette smuthul gør det muligt at fejlfortolke specifikke tegnsekvenser som PHP-muligheder, hvilket potentielt kan føre til eksekvering af uautoriseret kode.

Virkningen af CVE-2024-4577 spænder over forskellige PHP-versioner på Windows-systemer, inklusive ældre versioner som 8.0, 7 og 5, hvilket medfører hurtig handling fra PHP med udgivelsen af patchede versioner 8.1.29, 8.2.20 og 8.3. 8. Inden for få dage efter PHP's offentliggørelse og frigivelse af patch begyndte TellYouThePass ransomware- gruppen at udnytte sårbare servere, som observeret af Imperva. Angrebene var mangefacetterede og involverede forsøg på at uploade WebShells og implementere ransomware på målrettede systemer.

I disse angreb udførte trusselsaktører vilkårlig PHP-kode på kompromitterede maskiner og udnyttede 'system'-funktionen til at starte eksekveringen af HTML-applikationsfiler fra fjernservere. Ransomwaren implementeret af TellYouThePass-gruppen er en eksekverbar .NET-fil, der indlæses direkte i hukommelsen ved udførelse. Efter at have etableret kommunikation med sin kommando-og-kontrol-server, fortsætter malwaren med at opregne mapper, standse kørende processer, generere krypteringsnøgler og kryptere filer med specifikke udvidelser.

TellYouThePass ransomware-gruppen, der har været aktiv siden 2019, har en historie med at målrette mod både virksomheder og enkeltpersoner. Tidligere udnyttelser omfatter udnyttelse af sårbarheder i Apache Log4j (CVE-2021-44228) og ActiveMQ (CVE-2023-46604) til at udføre angreb. Med udnyttelsen af CVE-2024-4577 tilføjer de endnu et værktøj til deres arsenal, hvilket understreger de vedvarende udfordringer, som sårbarheder i udbredte softwaresystemer udgør.