Vulnerabilitatea PHP CVE-2024-4577 exploatată de grupul de ransomware TellYouThePass
O vulnerabilitate recent identificată în PHP, desemnată ca CVE-2024-4577, a devenit ținta exploatării de către un grup de ransomware la scurt timp după dezvăluire. Firma de securitate cibernetică Imperva evidențiază tendința de exploatare, dezvăluind că vulnerabilitatea afectează serverele Windows care utilizează configurații Apache și PHP-CGI.
În esență, defectul permite atacatorilor să injecteze argumente și să execute cod arbitrar atunci când anumite pagini de cod sunt activate, din cauza supravegherii de către PHP a comportamentului „Best-Fit” al Windows. Această lacună permite ca anumite secvențe de caractere să fie interpretate greșit ca opțiuni PHP, ceea ce poate duce la execuția de cod neautorizat.
Impactul CVE-2024-4577 se întinde pe diferite versiuni PHP de pe sistemele Windows, inclusiv versiuni mai vechi, cum ar fi 8.0, 7 și 5, determinând o acțiune rapidă din PHP odată cu lansarea versiunilor corectate 8.1.29, 8.2.20 și 8.3. 8. Cu toate acestea, în câteva zile de la dezvăluirea și lansarea patch-urilor de către PHP, grupul de ransomware TellYouThePass a început să exploateze serverele vulnerabile, după cum a observat Imperva. Atacurile au avut mai multe fațete, implicând încercări de a încărca WebShells și de a implementa ransomware pe sistemele vizate.
În aceste atacuri, actorii amenințărilor au executat cod PHP arbitrar pe mașini compromise, utilizând funcția „sistem” pentru a iniția execuția fișierelor de aplicații HTML de pe servere la distanță. Ransomware-ul implementat de grupul TellYouThePass este un executabil .NET, încărcat direct în memorie la execuție. La stabilirea comunicării cu serverul său de comandă și control, malware-ul continuă să enumere directoare, să oprească procesele care rulează, să genereze chei de criptare și să cripteze fișierele cu extensii specifice.
Grupul de ransomware TellYouThePass, activ din 2019, are o istorie de a viza atât companiile, cât și persoanele fizice. Exploatările anterioare includ valorificarea vulnerabilităților din Apache Log4j (CVE-2021-44228) și ActiveMQ (CVE-2023-46604) pentru a comite atacuri. Odată cu exploatarea CVE-2024-4577, aceștia adaugă un alt instrument la arsenalul lor, subliniind provocările permanente reprezentate de vulnerabilitățile sistemelor software utilizate pe scară largă.