A Vulnerabilidade CVE-2024-4577 PHP esta sendo Explorada pelo TellYouThePass Ransomware Group

Uma vulnerabilidade recentemente identificada no PHP, designada como CVE-2024-4577, tornou-se alvo de exploração por um grupo de ransomware logo após a sua divulgação. A empresa de segurança cibernética Imperva destaca a tendência de exploração, revelando que a vulnerabilidade afeta servidores Windows que utilizam configurações Apache e PHP-CGI.

Essencialmente, a falha permite que invasores injetem argumentos e executem código arbitrário quando certas páginas de código estão habilitadas, devido à supervisão do PHP sobre o comportamento 'Best-Fit' do Windows. Essa brecha permite que sequências de caracteres específicas sejam mal interpretadas como opções de PHP, levando potencialmente à execução de código não autorizado.

O impacto do CVE-2024-4577 abrange várias versões do PHP em sistemas Windows, incluindo versões mais antigas como 8.0, 7 e 5, solicitando uma ação rápida do PHP com o lançamento das versões corrigidas 8.1.29, 8.2.20 e 8.3. 8. No entanto, poucos dias após a divulgação do PHP e o lançamento do patch, o grupo do TellYouThePass Ransomware começou a explorar servidores vulneráveis, conforme observado pela Imperva. Os ataques foram multifacetados, envolvendo tentativas de fazer upload de WebShells e implantar ransomware em sistemas direcionados.

Nestes ataques, os agentes da ameaça executaram código PHP arbitrário em máquinas comprometidas, aproveitando a função de “sistema” para iniciar a execução de ficheiros de aplicações HTML a partir de servidores remotos. O ransomware implantado pelo grupo TellYouThePass é um executável .NET, carregado diretamente na memória durante a execução. Ao estabelecer comunicação com seu servidor de comando e controle, o malware enumera diretórios, interrompe processos em execução, gera chaves de criptografia e criptografa arquivos com extensões específicas.

O grupo do TellYouThePassRansomware, ativo desde 2019, tem um histórico de atingir empresas e indivíduos. As explorações anteriores incluem o aproveitamento de vulnerabilidades no Apache Log4j (CVE-2021-44228) e ActiveMQ (CVE-2023-46604) para perpetrar ataques. Com a exploração do CVE-2024-4577, acrescentam mais uma ferramenta ao seu arsenal, sublinhando os desafios contínuos colocados pelas vulnerabilidades em sistemas de software amplamente utilizados.