CVE-2024-4577 PHP sebezhetőség, amelyet a TellYouThePass Ransomware Group kihasznált

A PHP egy nemrégiben azonosított sebezhetősége , a CVE-2024-4577 néven, röviddel a nyilvánosságra hozatala után egy zsarolóvírus- csoport általi kihasználás célpontjává vált. Az Imperva kiberbiztonsági cég kiemeli a kizsákmányolási tendenciát, és felfedi, hogy a sérülékenység az Apache és PHP-CGI konfigurációkat használó Windows szervereket érinti.

A hiba lényegében lehetővé teszi a támadók számára, hogy argumentumokat szúrjanak be és tetszőleges kódot hajtsanak végre, amikor bizonyos kódlapok engedélyezettek, mivel a PHP felügyeli a Windows „Best-Fit” viselkedését. Ez a kiskapu lehetővé teszi bizonyos karaktersorozatok félreértelmezését PHP opcióként, ami jogosulatlan kód futtatásához vezethet.

A CVE-2024-4577 hatása a Windows rendszerek különféle PHP-verzióira kiterjed, beleértve a régebbi verziókat, például a 8.0-t, 7-et és 5-öt, ami gyors cselekvésre készteti a PHP-t a 8.1.29-es, 8.2.20-as és 8.3-as javított verziók kiadásával. 8. Azonban néhány napon belül a PHP nyilvánosságra hozatala és a javítás kiadása után a TellYouThePass ransomware csoport megkezdte a sebezhető szerverek kihasználását, ahogy azt az Imperva megfigyelte. A támadások sokrétűek voltak, beleértve a WebShell-ek feltöltésére és a zsarolóprogramok célzott rendszerekre történő telepítésére tett kísérleteket.

Ezekben a támadásokban a fenyegetés szereplői tetszőleges PHP-kódot hajtottak végre a feltört gépeken, kihasználva a „rendszer” funkciót, hogy elindítsák a távoli szerverekről származó HTML-alkalmazásfájlok végrehajtását. A TellYouThePass csoport által telepített zsarolóprogram egy .NET végrehajtható fájl, amely végrehajtáskor közvetlenül a memóriába töltődik be. A parancs- és vezérlőkiszolgálóval való kommunikációt követően a rosszindulatú program könyvtárakat sorol fel, leállítja a futó folyamatokat, titkosítási kulcsokat generál, és titkosítja a fájlokat meghatározott kiterjesztéssel.

A TellYouThePass ransomware csoport, amely 2019 óta működik, már régóta célzott vállalkozásokat és magánszemélyeket egyaránt. A korábbi kihasználások közé tartozik az Apache Log4j (CVE-2021-44228) és az ActiveMQ (CVE-2023-46604) sebezhetőségeinek kihasználása támadások végrehajtására. A CVE-2024-4577 kiaknázásával újabb eszközt adnak az arzenáljukhoz, hangsúlyozva a széles körben használt szoftverrendszerek sebezhetőségei által jelentett folyamatos kihívásokat.