CVE-2024-4577 PHP ranjivost iskorištava TellYouThePass Ransomware Group
Nedavno identificirana ranjivost u PHP-u, označena kao CVE-2024-4577, postala je meta iskorištavanja skupine ransomwarea nedugo nakon njezina otkrivanja. Tvrtka za kibernetičku sigurnost Imperva naglašava trend iskorištavanja, otkrivajući da ranjivost utječe na Windows poslužitelje koji koriste Apache i PHP-CGI konfiguracije.
U biti, greška dopušta napadačima umetanje argumenata i izvršavanje proizvoljnog koda kada su određene kodne stranice omogućene, zbog PHP-ovog nadzora nad Windowsovim 'Best-Fit' ponašanjem. Ova rupa u zakonu omogućuje da se određeni nizovi znakova pogrešno protumače kao PHP opcije, što potencijalno dovodi do izvršavanja neovlaštenog koda.
Utjecaj CVE-2024-4577 obuhvaća različite verzije PHP-a na Windows sustavima, uključujući starije verzije poput 8.0, 7 i 5, što je dovelo do brze akcije PHP-a izdavanjem zakrpanih verzija 8.1.29, 8.2.20 i 8.3. 8. Međutim, unutar nekoliko dana nakon otkrivanja PHP-a i izdavanja zakrpe, grupa ransomwarea TellYouThePass počela je iskorištavati ranjive poslužitelje, kako je primijetila Imperva. Napadi su bili višestruki, uključivali su pokušaje učitavanja WebShellova i implementacije ransomwarea na ciljane sustave.
U tim napadima akteri prijetnji izvršavali su proizvoljni PHP kod na kompromitiranim strojevima, koristeći funkciju 'sustava' za pokretanje izvršavanja HTML aplikacijskih datoteka s udaljenih poslužitelja. Ransomware koji je postavila grupa TellYouThePass je .NET izvršna datoteka koja se učitava izravno u memoriju nakon izvršenja. Nakon uspostavljanja komunikacije sa svojim poslužiteljem za naredbu i kontrolu, zlonamjerni softver nastavlja nabrajati direktorije, zaustavlja pokrenute procese, generira ključeve za šifriranje i šifrira datoteke s određenim ekstenzijama.
Grupa ransomwarea TellYouThePass, aktivna od 2019., ima povijest ciljanja tvrtki i pojedinaca. Prethodni podvigi uključuju iskorištavanje ranjivosti u Apache Log4j (CVE-2021-44228) i ActiveMQ (CVE-2023-46604) za izvođenje napada. Uz iskorištavanje CVE-2024-4577, dodali su još jedan alat u svoj arsenal, naglašavajući stalne izazove koje predstavljaju ranjivosti u široko korištenim softverskim sustavima.