TellYouThePass Ransomware Groupin käyttämä PHP-haavoittuvuus CVE-2024-4577

Äskettäin tunnistettu PHP:n haavoittuvuus , nimeltään CVE-2024-4577, on tullut kiristysohjelmaryhmän hyväksikäytön kohteeksi pian sen paljastamisen jälkeen. Kyberturvallisuusyritys Imperva korostaa hyväksikäyttötrendiä ja paljastaa, että haavoittuvuus vaikuttaa Windows-palvelimiin, jotka käyttävät Apache- ja PHP-CGI-kokoonpanoja.

Pohjimmiltaan virhe antaa hyökkääjille mahdollisuuden syöttää argumentteja ja suorittaa mielivaltaista koodia, kun tietyt koodisivut ovat käytössä, koska PHP valvoo Windowsin "Best-Fit" -käyttäytymistä. Tämä porsaanreikä mahdollistaa tiettyjen merkkijonojen tulkinnan väärin PHP-vaihtoehdoiksi, mikä saattaa johtaa luvattoman koodin suorittamiseen.

CVE-2024-4577:n vaikutus ulottuu useisiin Windows-järjestelmien PHP-versioihin, mukaan lukien vanhemmat versiot, kuten 8.0, 7 ja 5, ja se saa PHP:n ryhtymään nopeasti toimiin julkaisemalla korjatut versiot 8.1.29, 8.2.20 ja 8.3. 8. Kuitenkin muutaman päivän sisällä PHP:n julkistamisesta ja korjaustiedoston julkaisemisesta TellYouThePass-lunnasohjelmaryhmä alkoi hyödyntää haavoittuvia palvelimia, kuten Imperva havaitsi. Hyökkäykset olivat monitahoisia, ja niihin sisältyi yrityksiä ladata WebShell-tiedostoja ja ottaa käyttöön lunnasohjelmia kohdistetuille järjestelmille.

Näissä hyökkäyksissä uhkatekijät suorittivat mielivaltaista PHP-koodia vaarantuneissa koneissa hyödyntäen "järjestelmä"-toimintoa käynnistääkseen HTML-sovellustiedostojen suorittamisen etäpalvelimista. TellYouThePass-ryhmän käyttöön ottama kiristysohjelma on .NET-suoritettava tiedosto, joka ladataan suoraan muistiin suorituksen yhteydessä. Kun haittaohjelma on muodostanut yhteyden komento- ja ohjauspalvelimeensa, se alkaa luetteloida hakemistoja, pysäyttää käynnissä olevat prosessit, luoda salausavaimia ja salata tiedostoja tietyillä tunnisteilla.

Vuodesta 2019 lähtien toimineella TellYouThePass-lunnasohjelmaryhmällä on historian kohteena sekä yrityksiä että yksityishenkilöitä. Aiempia hyväksikäyttöjä ovat muun muassa Apache Log4j:n (CVE-2021-44228) ja ActiveMQ:n (CVE-2023-46604) haavoittuvuuksien hyödyntäminen hyökkäyksiä varten. CVE-2024-4577:n avulla he lisäävät uuden työkalun arsenaaliinsa, mikä korostaa jatkuvasti käytettyjen ohjelmistojärjestelmien haavoittuvuuksien aiheuttamia haasteita.