Luka CVE-2024-4577 PHP wykorzystywana przez grupę TellYouThePass Ransomware

Niedawno zidentyfikowana luka w PHP, oznaczona jako CVE-2024-4577, wkrótce po jej ujawnieniu stała się celem wykorzystania przez grupę zajmującą się oprogramowaniem ransomware . Firma Imperva zajmująca się bezpieczeństwem cybernetycznym zwraca uwagę na trend wykorzystywania, ujawniając, że luka dotyczy serwerów Windows korzystających z konfiguracji Apache i PHP-CGI.

Zasadniczo luka umożliwia atakującym wstrzykiwanie argumentów i wykonywanie dowolnego kodu, gdy włączone są określone strony kodowe, ze względu na nadzór PHP nad zachowaniem „Best-Fit” systemu Windows. Ta luka umożliwia błędną interpretację określonych sekwencji znaków jako opcji PHP, co może prowadzić do wykonania nieautoryzowanego kodu.

Wpływ CVE-2024-4577 obejmuje różne wersje PHP w systemach Windows, w tym starsze wersje, takie jak 8.0, 7 i 5, co skłoniło PHP do szybkiego działania wraz z wydaniem poprawionych wersji 8.1.29, 8.2.20 i 8.3. 8. Jednakże, jak zauważyła Imperva, w ciągu kilku dni od ujawnienia PHP i wydania łatki grupa oprogramowania ransomware TellYouThePass zaczęła wykorzystywać podatne na ataki serwery. Ataki były wieloaspektowe i obejmowały próby przesłania powłok WebShell i wdrożenia oprogramowania ransomware w docelowych systemach.

Podczas tych ataków ugrupowania zagrażające wykonywały dowolny kod PHP na zaatakowanych komputerach, wykorzystując funkcję „systemową” do inicjowania wykonywania plików aplikacji HTML ze zdalnych serwerów. Oprogramowanie ransomware wdrożone przez grupę TellYouThePass to plik wykonywalny .NET, ładowany bezpośrednio do pamięci po uruchomieniu. Po nawiązaniu komunikacji ze swoim serwerem dowodzenia i kontroli szkodliwe oprogramowanie przystępuje do wyliczania katalogów, zatrzymywania uruchomionych procesów, generowania kluczy szyfrowania i szyfrowania plików z określonymi rozszerzeniami.

Aktywna od 2019 roku grupa oprogramowania ransomware TellYouThePass od dawna atakuje zarówno firmy, jak i osoby prywatne. Poprzednie exploity obejmują wykorzystywanie luk w zabezpieczeniach Apache Log4j (CVE-2021-44228) i ActiveMQ (CVE-2023-46604) w celu przeprowadzania ataków. Wykorzystując CVE-2024-4577, dodają do swojego arsenału kolejne narzędzie, podkreślając ciągłe wyzwania stwarzane przez luki w zabezpieczeniach powszechnie używanych systemów oprogramowania.