CVE-2024-4577 Vulnerabilità PHP sfruttata dal gruppo TellYouThePass Ransomware
Una vulnerabilità recentemente identificata in PHP, denominata CVE-2024-4577, è diventata l'obiettivo dello sfruttamento da parte di un gruppo di ransomware poco dopo la sua divulgazione. La società di sicurezza informatica Imperva evidenzia la tendenza allo sfruttamento, rivelando che la vulnerabilità colpisce i server Windows che utilizzano configurazioni Apache e PHP-CGI.
In sostanza, la falla consente agli aggressori di inserire argomenti ed eseguire codice arbitrario quando determinate tabelle codici sono abilitate, a causa della supervisione di PHP sul comportamento "Best-Fit" di Windows. Questa scappatoia consente di interpretare erroneamente sequenze di caratteri specifiche come opzioni PHP, portando potenzialmente all'esecuzione di codice non autorizzato.
L'impatto di CVE-2024-4577 si estende a varie versioni PHP sui sistemi Windows, comprese le versioni precedenti come 8.0, 7 e 5, richiedendo un'azione rapida da parte di PHP con il rilascio delle versioni patchate 8.1.29, 8.2.20 e 8.3. 8. Tuttavia, pochi giorni dopo la divulgazione di PHP e il rilascio della patch, il gruppo ransomware TellYouThePass ha iniziato a sfruttare i server vulnerabili, come osservato da Imperva. Gli attacchi sono stati molteplici e hanno comportato tentativi di caricare WebShell e distribuire ransomware sui sistemi presi di mira.
In questi attacchi, gli autori delle minacce hanno eseguito codice PHP arbitrario su macchine compromesse, sfruttando la funzione "sistema" per avviare l'esecuzione di file applicativi HTML da server remoti. Il ransomware distribuito dal gruppo TellYouThePass è un eseguibile .NET, caricato direttamente in memoria al momento dell'esecuzione. Dopo aver stabilito la comunicazione con il proprio server di comando e controllo, il malware procede a enumerare le directory, interrompere i processi in esecuzione, generare chiavi di crittografia e crittografare file con estensioni specifiche.
Il gruppo ransomware TellYouThePass, attivo dal 2019, ha una storia di prendere di mira sia aziende che privati. Gli exploit precedenti includono lo sfruttamento delle vulnerabilità in Apache Log4j (CVE-2021-44228) e ActiveMQ (CVE-2023-46604) per perpetrare attacchi. Con lo sfruttamento di CVE-2024-4577, aggiungono un altro strumento al loro arsenale, sottolineando le continue sfide poste dalle vulnerabilità nei sistemi software ampiamente utilizzati.