CVE-2024-4577 פגיעות PHP מנוצלת על ידי TellYouThePass Ransomware Group

פגיעות שזוהתה לאחרונה ב-PHP, המוגדרת כ-CVE-2024-4577, הפכה ליעד לניצול על ידי קבוצת תוכנות כופר זמן קצר לאחר חשיפתה. חברת אבטחת הסייבר Imperva מדגישה את מגמת הניצול, וחושפת שהפגיעות משפיעה על שרתי Windows המשתמשים בתצורות Apache ו-PHP-CGI.

בעיקרו של דבר, הפגם מאפשר לתוקפים להחדיר ארגומנטים ולהפעיל קוד שרירותי כאשר דפי קוד מסוימים מופעלים, עקב הפיקוח של PHP על התנהגות ה-'Best-Fit' של Windows. פרצה זו מאפשרת לפרש שגוי של רצפי תווים ספציפיים כאפשרויות PHP, מה שעלול להוביל לביצוע של קוד לא מורשה.

ההשפעה של CVE-2024-4577 משתרעת על פני גרסאות PHP שונות במערכות Windows, כולל גרסאות ישנות יותר כמו 8.0, 7 ו-5, מה שמניע לפעולה מהירה של PHP עם שחרור גרסאות 8.1.29, 8.2.20 ו-8.3 המתוקנות. 8. עם זאת, תוך ימים של חשיפה ושחרור התיקון של PHP, קבוצת תוכנות הכופר של TellYouThePass החלה לנצל שרתים פגיעים, כפי שצפתה על ידי Imperva. ההתקפות היו רב-גוניות, וכללו ניסיונות להעלות WebShells ולפרוס תוכנות כופר על מערכות ממוקדות.

בהתקפות אלו, גורמי איומים הוציאו לפועל קוד PHP שרירותי במכונות שנפרצו, תוך מינוף פונקציית ה'מערכת' כדי ליזום ביצוע של קבצי יישומי HTML משרתים מרוחקים. תוכנת הכופר שנפרסת על ידי קבוצת TellYouThePass היא קובץ הפעלה .NET, הנטען ישירות לזיכרון עם הביצוע. עם יצירת תקשורת עם שרת הפקודה והשליטה שלו, התוכנה הזדונית ממשיכה למנות ספריות, לעצור תהליכים, ליצור מפתחות הצפנה ולהצפין קבצים עם הרחבות ספציפיות.

לקבוצת תוכנות הכופר TellYouThePass, הפעילה מאז 2019, יש היסטוריה של מיקוד לעסקים ויחידים כאחד. ניצולים קודמים כוללים מינוף נקודות תורפה ב-Apache Log4j (CVE-2021-44228) ו-ActiveMQ (CVE-2023-46604) כדי לבצע התקפות. עם הניצול של CVE-2024-4577, הם מוסיפים כלי נוסף לארסנל שלהם, המדגיש את האתגרים המתמשכים שמציבים פגיעויות במערכות תוכנה בשימוש נרחב.