CVE-2024-4577 PHP-sårbarhet utnyttet av TellYouThePass Ransomware Group

En nylig identifisert sårbarhet i PHP, utpekt som CVE-2024-4577, har blitt målet for utnyttelse av en løsepengevaregruppe kort tid etter at den ble avslørt. Cybersikkerhetsfirmaet Imperva fremhever utnyttelsestrenden, og avslører at sårbarheten påvirker Windows-servere som bruker Apache- og PHP-CGI-konfigurasjoner.

I hovedsak tillater feilen angripere å injisere argumenter og kjøre vilkårlig kode når visse kodesider er aktivert, på grunn av PHPs tilsyn med Windows 'Best-Fit'-oppførsel. Dette smutthullet gjør at spesifikke tegnsekvenser kan feiltolkes som PHP-alternativer, noe som potensielt kan føre til kjøring av uautorisert kode.

Virkningen av CVE-2024-4577 spenner over ulike PHP-versjoner på Windows-systemer, inkludert eldre versjoner som 8.0, 7 og 5, noe som gir rask handling fra PHP med utgivelsen av oppdateringsversjoner 8.1.29, 8.2.20 og 8.3. 8. Imidlertid, i løpet av dager etter PHPs avsløring og utgivelse av patch, begynte TellYouThePass løsepengevaregruppen å utnytte sårbare servere, som observert av Imperva. Angrepene var mangefasetterte, og involverte forsøk på å laste opp WebShells og distribuere løsepengevare på målrettede systemer.

I disse angrepene utførte trusselaktører vilkårlig PHP-kode på kompromitterte maskiner, og utnyttet "system"-funksjonen for å starte kjøringen av HTML-applikasjonsfiler fra eksterne servere. Løsepengevaren distribuert av TellYouThePass-gruppen er en .NET-kjørbar fil, lastet direkte inn i minnet ved kjøring. Etter å ha etablert kommunikasjon med sin kommando-og-kontroll-server, fortsetter skadelig programvare med å telle opp kataloger, stoppe kjørende prosesser, generere krypteringsnøkler og kryptere filer med spesifikke utvidelser.

TellYouThePass løsepengevaregruppen, aktiv siden 2019, har en historie med å målrette både bedrifter og enkeltpersoner. Tidligere utnyttelser inkluderer utnyttelse av sårbarheter i Apache Log4j (CVE-2021-44228) og ActiveMQ (CVE-2023-46604) for å utføre angrep. Med utnyttelsen av CVE-2024-4577 legger de til enda et verktøy til arsenalet sitt, og understreker de pågående utfordringene som utgjøres av sårbarheter i mye brukte programvaresystemer.