CVE-2024-4577 PHP pažeidžiamumas, kurį išnaudojo TellYouThePass Ransomware Group

Neseniai nustatytas PHP pažeidžiamumas , pavadintas CVE-2024-4577, netrukus po jo atskleidimo tapo išpirkos reikalaujančių programų grupės išnaudojimo taikiniu. Kibernetinio saugumo įmonė „Imperva“ pabrėžia išnaudojimo tendenciją ir atskleidžia, kad pažeidžiamumas paveikia „Windows“ serverius, naudojančius „Apache“ ir PHP-CGI konfigūracijas.

Iš esmės šis trūkumas leidžia užpuolikams įvesti argumentus ir vykdyti savavališką kodą, kai įjungti tam tikri kodų puslapiai, nes PHP prižiūri „Windows“ „Best-Fit“ elgseną. Dėl šios spragos konkrečios simbolių sekos gali būti klaidingai interpretuojamos kaip PHP parinktys, todėl gali būti vykdomas neteisėtas kodas.

CVE-2024-4577 poveikis apima įvairias PHP versijas „Windows“ sistemose, įskaitant senesnes versijas, pvz., 8.0, 7 ir 5, todėl PHP greitai imasi veiksmų ir išleidžia 8.1.29, 8.2.20 ir 8.3 pataisytas versijas. 8. Tačiau praėjus kelioms dienoms po PHP atskleidimo ir pataisos išleidimo, TellYouThePass išpirkos reikalaujančių programų grupė pradėjo eksploatuoti pažeidžiamus serverius, kaip pastebėjo Imperva. Atakos buvo daugialypės, įskaitant bandymus įkelti WebShells ir įdiegti išpirkos reikalaujančias programas tikslinėse sistemose.

Šių atakų metu grėsmės veikėjai įvykdė savavališką PHP kodą pažeistose mašinose, panaudodami „sistemos“ funkciją, kad inicijuotų HTML programų failų vykdymą iš nuotolinių serverių. „TellYouThePass“ grupės įdiegta išpirkos reikalaujanti programinė įranga yra .NET vykdomasis failas, kuris vykdant įkeliamas tiesiai į atmintį. Užmezgusi ryšį su savo komandų ir valdymo serveriu, kenkėjiška programa pradeda išvardyti katalogus, sustabdo vykdomus procesus, generuoja šifravimo raktus ir šifruoja failus su konkrečiais plėtiniais.

„TellYouThePass“ išpirkos reikalaujančių programų grupė, veikianti nuo 2019 m., yra skirta tiek įmonėms, tiek asmenims. Ankstesni išnaudojimai apima „Apache Log4j“ (CVE-2021-44228) ir „ActiveMQ“ (CVE-2023-46604) spragų panaudojimą atakoms vykdyti. Išnaudodami CVE-2024-4577, jie papildo savo arsenalą dar vienu įrankiu, pabrėžiančiu nuolatinius iššūkius, kylančius dėl plačiai naudojamų programinės įrangos sistemų pažeidžiamumo.