CVE-2024-4577 PHP-kwetsbaarheid misbruikt door TellYouThePass Ransomware Group
Een onlangs geïdentificeerde kwetsbaarheid in PHP, aangeduid als CVE-2024-4577, is kort na de onthulling het doelwit geworden van misbruik door een ransomwaregroep . Cybersecuritybedrijf Imperva benadrukt de exploitatietrend en onthult dat de kwetsbaarheid Windows-servers treft die Apache- en PHP-CGI-configuraties gebruiken.
In wezen stelt de fout aanvallers in staat argumenten in te voeren en willekeurige code uit te voeren wanneer bepaalde codepagina's zijn ingeschakeld, dankzij PHP's toezicht op het 'Best-Fit'-gedrag van Windows. Door deze maas in de wet kunnen specifieke tekenreeksen verkeerd worden geïnterpreteerd als PHP-opties, wat mogelijk kan leiden tot de uitvoering van ongeautoriseerde code.
De impact van CVE-2024-4577 strekt zich uit over verschillende PHP-versies op Windows-systemen, inclusief oudere versies zoals 8.0, 7 en 5, wat aanleiding geeft tot snelle actie van PHP met de release van gepatchte versies 8.1.29, 8.2.20 en 8.3. 8. Echter, binnen enkele dagen na de bekendmaking van PHP en de release van de patch, begon de TellYouThePass-ransomwaregroep kwetsbare servers te exploiteren, zoals waargenomen door Imperva. De aanvallen waren veelzijdig en omvatten pogingen om WebShells te uploaden en ransomware op gerichte systemen te implementeren.
Bij deze aanvallen voerden bedreigingsactoren willekeurige PHP-code uit op besmette machines, waarbij ze gebruik maakten van de 'systeem'-functie om de uitvoering van HTML-toepassingsbestanden vanaf externe servers te initiëren. De ransomware die door de TellYouThePass-groep wordt ingezet, is een .NET-uitvoerbaar bestand dat bij uitvoering direct in het geheugen wordt geladen. Na het tot stand brengen van communicatie met de command-and-control-server, gaat de malware verder met het opsommen van mappen, het stopzetten van lopende processen, het genereren van encryptiesleutels en het coderen van bestanden met specifieke extensies.
De TellYouThePass-ransomwaregroep, actief sinds 2019, heeft een geschiedenis van aanvallen op zowel bedrijven als particulieren. Eerdere exploits omvatten onder meer het benutten van kwetsbaarheden in Apache Log4j (CVE-2021-44228) en ActiveMQ (CVE-2023-46604) om aanvallen uit te voeren. Met de exploitatie van CVE-2024-4577 voegen ze nog een tool toe aan hun arsenaal, waarmee ze de voortdurende uitdagingen benadrukken die worden veroorzaakt door kwetsbaarheden in veelgebruikte softwaresystemen.