CVE-2024-4577 PHP भेद्यता का TellYouThePass रैनसमवेयर समूह द्वारा फायदा उठाया गया

PHP में हाल ही में पहचानी गई एक भेद्यता , जिसे CVE-2024-4577 नाम दिया गया है, इसके खुलासे के कुछ ही समय बाद रैनसमवेयर समूह द्वारा शोषण का लक्ष्य बन गई है। साइबरसिक्यूरिटी फर्म इम्पर्वा शोषण की प्रवृत्ति पर प्रकाश डालती है, यह खुलासा करते हुए कि यह भेद्यता अपाचे और PHP-CGI कॉन्फ़िगरेशन का उपयोग करने वाले विंडोज सर्वर को प्रभावित करती है।

अनिवार्य रूप से, यह दोष हमलावरों को तर्कों को इंजेक्ट करने और मनमाने कोड को निष्पादित करने की अनुमति देता है जब कुछ कोड पृष्ठ सक्षम होते हैं, जो कि PHP द्वारा विंडोज के 'बेस्ट-फिट' व्यवहार की निगरानी के कारण होता है। यह खामी विशिष्ट वर्ण अनुक्रमों को PHP विकल्पों के रूप में गलत तरीके से व्याख्या करने की अनुमति देती है, जिससे संभावित रूप से अनधिकृत कोड का निष्पादन हो सकता है।

CVE-2024-4577 का प्रभाव विंडोज सिस्टम पर विभिन्न PHP संस्करणों पर फैला हुआ है, जिसमें 8.0, 7 और 5 जैसे पुराने संस्करण शामिल हैं, जिसके कारण PHP ने पैच किए गए संस्करण 8.1.29, 8.2.20 और 8.3.8 जारी करके त्वरित कार्रवाई की। हालाँकि, PHP के खुलासे और पैच रिलीज़ के कुछ दिनों के भीतर, TellYouThePass रैनसमवेयर समूह ने कमजोर सर्वरों का शोषण करना शुरू कर दिया, जैसा कि इम्पर्वा ने देखा। हमले बहुआयामी थे, जिसमें वेबशेल अपलोड करने और लक्षित सिस्टम पर रैनसमवेयर तैनात करने के प्रयास शामिल थे।

इन हमलों में, खतरे वाले अभिनेताओं ने समझौता किए गए मशीनों पर मनमाना PHP कोड निष्पादित किया, दूरस्थ सर्वर से HTML एप्लिकेशन फ़ाइलों के निष्पादन को आरंभ करने के लिए 'सिस्टम' फ़ंक्शन का लाभ उठाया। TellYouThePass समूह द्वारा तैनात रैनसमवेयर एक .NET निष्पादन योग्य है, जो निष्पादन के बाद सीधे मेमोरी में लोड होता है। अपने कमांड-एंड-कंट्रोल सर्वर के साथ संचार स्थापित करने पर, मैलवेयर निर्देशिकाओं की गणना करने, चल रही प्रक्रियाओं को रोकने, एन्क्रिप्शन कुंजी बनाने और विशिष्ट एक्सटेंशन के साथ फ़ाइलों को एन्क्रिप्ट करने के लिए आगे बढ़ता है।

2019 से सक्रिय TellYouThePass रैनसमवेयर समूह का व्यवसायों और व्यक्तियों दोनों को निशाना बनाने का इतिहास रहा है। पिछले कारनामों में अपाचे लॉग4जे (CVE-2021-44228) और एक्टिवएमक्यू (CVE-2023-46604) में कमजोरियों का लाभ उठाकर हमले करना शामिल है। CVE-2024-4577 के शोषण के साथ, वे अपने शस्त्रागार में एक और उपकरण जोड़ते हैं, जो व्यापक रूप से उपयोग किए जाने वाले सॉफ़्टवेयर सिस्टम में कमजोरियों द्वारा उत्पन्न चल रही चुनौतियों को रेखांकित करता है।