Ευπάθεια CVE-2024-4577 PHP που αξιοποιείται από την TellYouThePass Ransomware Group

Μια ευπάθεια που εντοπίστηκε πρόσφατα στην PHP, που ονομάστηκε CVE-2024-4577, έγινε στόχος εκμετάλλευσης από μια ομάδα ransomware λίγο μετά την αποκάλυψή της. Η εταιρεία κυβερνοασφάλειας Imperva υπογραμμίζει την τάση εκμετάλλευσης, αποκαλύπτοντας ότι η ευπάθεια επηρεάζει τους διακομιστές των Windows που χρησιμοποιούν διαμορφώσεις Apache και PHP-CGI.

Ουσιαστικά, το ελάττωμα επιτρέπει στους εισβολείς να εισάγουν ορίσματα και να εκτελούν αυθαίρετο κώδικα όταν είναι ενεργοποιημένες ορισμένες σελίδες κώδικα, λόγω της επίβλεψης της PHP της συμπεριφοράς "Best-Fit" των Windows. Αυτό το κενό επιτρέπει σε συγκεκριμένες ακολουθίες χαρακτήρων να παρερμηνευθούν ως επιλογές PHP, οδηγώντας ενδεχομένως στην εκτέλεση μη εξουσιοδοτημένου κώδικα.

Ο αντίκτυπος του CVE-2024-4577 εκτείνεται σε διάφορες εκδόσεις PHP σε συστήματα Windows, συμπεριλαμβανομένων παλαιότερων εκδόσεων όπως 8.0, 7 και 5, προτρέποντας την ταχεία δράση από την PHP με την κυκλοφορία των επιδιορθωμένων εκδόσεων 8.1.29, 8.2.20 και 8.3. 8. Ωστόσο, εντός ημερών από την αποκάλυψη της PHP και την κυκλοφορία της ενημέρωσης κώδικα, η ομάδα ransomware TellYouThePass άρχισε να εκμεταλλεύεται ευάλωτους διακομιστές, όπως παρατηρήθηκε από την Imperva. Οι επιθέσεις ήταν πολύπλευρες, περιλαμβάνοντας προσπάθειες μεταφόρτωσης WebShells και ανάπτυξης ransomware σε στοχευμένα συστήματα.

Σε αυτές τις επιθέσεις, οι φορείς απειλών εκτελούσαν αυθαίρετο κώδικα PHP σε παραβιασμένους μηχανισμούς, αξιοποιώντας τη λειτουργία «σύστημα» για να ξεκινήσουν την εκτέλεση αρχείων εφαρμογής HTML από απομακρυσμένους διακομιστές. Το ransomware που αναπτύσσεται από την ομάδα TellYouThePass είναι ένα εκτελέσιμο αρχείο .NET, που φορτώνεται απευθείας στη μνήμη κατά την εκτέλεση. Μόλις δημιουργηθεί επικοινωνία με τον διακομιστή εντολών και ελέγχου του, το κακόβουλο λογισμικό προχωρά στην απαρίθμηση καταλόγων, τη διακοπή των διαδικασιών που εκτελούνται, τη δημιουργία κλειδιών κρυπτογράφησης και την κρυπτογράφηση αρχείων με συγκεκριμένες επεκτάσεις.

Η ομάδα ransomware TellYouThePass, που δραστηριοποιείται από το 2019, έχει ιστορικό στόχευσης τόσο επιχειρήσεων όσο και ιδιωτών. Τα προηγούμενα exploit περιλαμβάνουν τη μόχλευση τρωτών σημείων στο Apache Log4j (CVE-2021-44228) και το ActiveMQ (CVE-2023-46604) για τη διάπραξη επιθέσεων. Με την εκμετάλλευση του CVE-2024-4577, προσθέτουν ένα άλλο εργαλείο στο οπλοστάσιό τους, υπογραμμίζοντας τις συνεχιζόμενες προκλήσεις που δημιουργούνται από τα τρωτά σημεία σε ευρέως χρησιμοποιούμενα συστήματα λογισμικού.