CVE-2024-4577 PHP haavatavus, mida kasutas TellYouThePass Ransomware Group

Hiljuti tuvastatud PHP haavatavus , nimega CVE-2024-4577, on saanud lunavaragrupi poolt ärakasutamise sihtmärgiks varsti pärast selle avalikustamist. Küberturbefirma Imperva tõstab esile ärakasutamistrendi, paljastades, et haavatavus mõjutab Windowsi servereid, mis kasutavad Apache ja PHP-CGI konfiguratsioone.

Põhimõtteliselt võimaldab see viga ründajatel sisestada argumente ja käivitada suvalist koodi, kui teatud koodilehed on lubatud, kuna PHP jälgib Windowsi „Best-Fit” käitumist. See lünk võimaldab konkreetseid märgijadasid PHP-valikutena valesti tõlgendada, mis võib viia volitamata koodi käivitamiseni.

CVE-2024-4577 mõju hõlmab Windowsi süsteemide erinevaid PHP-versioone, sealhulgas vanemaid versioone, nagu 8.0, 7 ja 5, ajendades PHP-lt kiiresti tegutsema, avaldades paigatud versioonid 8.1.29, 8.2.20 ja 8.3. 8. Kuid mõne päeva jooksul pärast PHP avalikustamist ja plaastri avaldamist hakkas TellYouThePassi lunavaragrupp kasutama haavatavaid servereid, nagu on täheldanud Imperva. Rünnakud olid mitmetahulised, hõlmates katseid üles laadida WebShellid ja juurutada lunavara sihitud süsteemidesse.

Nende rünnakute käigus käivitasid ohus osalejad suvalise PHP-koodi ohustatud masinatel, kasutades süsteemi funktsiooni, et algatada kaugserveritest HTML-rakenduste failide käivitamine. TellYouThePassi rühma juurutatud lunavara on .NET-i käivitatav fail, mis laaditakse täitmisel otse mällu. Pärast side loomist oma käsu- ja juhtimisserveriga hakkab pahavara loendama katalooge, peatama jooksvaid protsesse, genereerima krüpteerimisvõtmeid ja krüpteerima kindlate laienditega faile.

TellYouThePassi lunavaragrupp, mis on aktiivne alates 2019. aastast, on varem sihinud nii ettevõtteid kui ka eraisikuid. Varasemad ärakasutamise viisid hõlmavad Apache Log4j (CVE-2021-44228) ja ActiveMQ (CVE-2023-46604) haavatavuste ärakasutamist rünnakute toimepanemiseks. CVE-2024-4577 kasutamisega lisavad nad oma arsenali veel ühe tööriista, rõhutades pidevaid väljakutseid, mida põhjustavad laialdaselt kasutatavate tarkvarasüsteemide haavatavused.