CVE-2024-4577 PHP ievainojamība, ko izmantoja TellYouThePass Ransomware Group

Nesen atklātā PHP ievainojamība , kas apzīmēta kā CVE-2024-4577, ir kļuvusi par izspiedējvīrusu grupas izmantošanas mērķi neilgi pēc tās atklāšanas. Kiberdrošības uzņēmums Imperva uzsver izmantošanas tendenci, atklājot, ka ievainojamība ietekmē Windows serverus, kas izmanto Apache un PHP-CGI konfigurācijas.

Būtībā šis trūkums ļauj uzbrucējiem ievadīt argumentus un izpildīt patvaļīgu kodu, kad ir iespējotas noteiktas koda lapas, jo PHP pārrauga Windows “Vislabāk piemēroto” darbību. Šī nepilnība ļauj noteiktas rakstzīmju secības nepareizi interpretēt kā PHP opcijas, kas, iespējams, var izraisīt neatļauta koda izpildi.

CVE-2024-4577 ietekme attiecas uz dažādām PHP versijām Windows sistēmās, tostarp vecākajās versijās, piemēram, 8.0, 7 un 5, liekot PHP ātri rīkoties, izlaižot labotās versijas 8.1.29, 8.2.20 un 8.3. 8. Tomēr dažu dienu laikā pēc PHP atklāšanas un ielāpu izdošanas TellYouThePass izspiedējvīrusu grupa sāka izmantot neaizsargātus serverus, kā novēroja Imperva. Uzbrukumi bija daudzpusīgi, un tie ietvēra mēģinājumus augšupielādēt WebShells un izvietot izspiedējvīrusu programmatūru mērķa sistēmās.

Šajos uzbrukumos apdraudējuma dalībnieki palaida patvaļīgu PHP kodu uz kompromitētām iekārtām, izmantojot “sistēmas” funkciju, lai sāktu HTML lietojumprogrammu failu izpildi no attāliem serveriem. TellYouThePass grupas izvietotā izpirkuma programmatūra ir .NET izpildāmā programma, kas pēc izpildes tiek ielādēta tieši atmiņā. Izveidojot saziņu ar savu komandu un kontroles serveri, ļaunprogrammatūra turpina uzskaitīt direktorijus, apturēt darbības procesus, ģenerēt šifrēšanas atslēgas un šifrēt failus ar īpašiem paplašinājumiem.

TellYouThePass ransomware grupa, kas darbojas kopš 2019. gada, ir bijusi vērsta gan uz uzņēmumiem, gan privātpersonām. Iepriekšējie ekspluatācijas veidi ietver Apache Log4j (CVE-2021-44228) un ActiveMQ (CVE-2023-46604) ievainojamību izmantošanu, lai veiktu uzbrukumus. Izmantojot CVE-2024-4577, viņi savam arsenālam pievieno vēl vienu rīku, uzsverot pastāvīgās problēmas, ko rada plaši izmantoto programmatūras sistēmu ievainojamība.