CVE-2024-4577 Kerentanan PHP Dieksploitasi oleh Kumpulan TellYouThePass Ransomware

Kerentanan yang dikenal pasti baru-baru ini dalam PHP, yang ditetapkan sebagai CVE-2024-4577, telah menjadi sasaran eksploitasi oleh kumpulan perisian tebusan sejurus selepas pendedahannya. Firma keselamatan siber Imperva menyerlahkan aliran eksploitasi, mendedahkan bahawa kerentanan mempengaruhi pelayan Windows yang menggunakan konfigurasi Apache dan PHP-CGI.

Pada asasnya, kecacatan itu membenarkan penyerang untuk menyuntik hujah dan melaksanakan kod arbitrari apabila halaman kod tertentu didayakan, disebabkan oleh pengawasan PHP terhadap tingkah laku 'Best-Fit' Windows. Celah ini membolehkan urutan aksara tertentu disalahtafsirkan sebagai pilihan PHP, yang berpotensi membawa kepada pelaksanaan kod yang tidak dibenarkan.

Kesan CVE-2024-4577 merentas pelbagai versi PHP pada sistem Windows, termasuk versi lama seperti 8.0, 7 dan 5, mendorong tindakan pantas daripada PHP dengan mengeluarkan versi tampalan 8.1.29, 8.2.20 dan 8.3. 8. Walau bagaimanapun, dalam beberapa hari selepas pendedahan PHP dan keluaran tampalan, kumpulan perisian tebusan TellYouThePass mula mengeksploitasi pelayan yang terdedah, seperti yang diperhatikan oleh Imperva. Serangan itu pelbagai rupa, melibatkan percubaan untuk memuat naik WebShells dan menggunakan perisian tebusan ke sistem yang disasarkan.

Dalam serangan ini, pelaku ancaman melaksanakan kod PHP sewenang-wenangnya pada mesin yang terjejas, memanfaatkan fungsi 'sistem' untuk memulakan pelaksanaan fail aplikasi HTML dari pelayan jauh. Perisian tebusan yang digunakan oleh kumpulan TellYouThePass ialah .NET boleh laku, dimuatkan terus ke dalam memori selepas pelaksanaan. Setelah mewujudkan komunikasi dengan pelayan arahan dan kawalannya, perisian hasad meneruskan untuk menghitung direktori, menghentikan proses berjalan, menjana kunci penyulitan dan menyulitkan fail dengan sambungan tertentu.

Kumpulan perisian tebusan TellYouThePass, aktif sejak 2019, mempunyai sejarah menyasarkan kedua-dua perniagaan dan individu. Eksploitasi sebelumnya termasuk memanfaatkan kelemahan dalam Apache Log4j (CVE-2021-44228) dan ActiveMQ (CVE-2023-46604) untuk melakukan serangan. Dengan eksploitasi CVE-2024-4577, mereka menambah alat lain pada senjata mereka, menggariskan cabaran berterusan yang ditimbulkan oleh kelemahan dalam sistem perisian yang digunakan secara meluas.