CVE-2024-4577 Уязвимость PHP, использованная группой вымогателей TellYouThePass

Недавно обнаруженная уязвимость в PHP, получившая обозначение CVE-2024-4577, стала целью эксплуатации группы программ-вымогателей вскоре после ее раскрытия. Фирма по кибербезопасности Imperva подчеркивает тенденцию использования, показывая, что уязвимость затрагивает серверы Windows, использующие конфигурации Apache и PHP-CGI.

По сути, уязвимость позволяет злоумышленникам вводить аргументы и выполнять произвольный код, когда включены определенные кодовые страницы, из-за контроля PHP за поведением Windows «Best-Fit». Эта лазейка позволяет ошибочно интерпретировать определенные последовательности символов как параметры PHP, что потенциально может привести к выполнению неавторизованного кода.

Влияние CVE-2024-4577 распространяется на различные версии PHP в системах Windows, включая более старые версии, такие как 8.0, 7 и 5, что требует быстрых действий со стороны PHP с выпуском исправленных версий 8.1.29, 8.2.20 и 8.3. 8. Однако, как отмечает Imperva, через несколько дней после раскрытия PHP и выпуска исправления группа вымогателей TellYouThePass начала использовать уязвимые серверы. Атаки были многоплановыми и включали попытки загрузить WebShell и установить программы-вымогатели на целевые системы.

В ходе этих атак злоумышленники выполняли произвольный PHP-код на взломанных машинах, используя «системную» функцию для инициирования выполнения файлов HTML-приложений с удаленных серверов. Программа-вымогатель, развернутая группой TellYouThePass, представляет собой исполняемый файл .NET, загружаемый непосредственно в память при выполнении. После установления связи со своим управляющим сервером вредоносная программа приступает к перебору каталогов, остановке запущенных процессов, генерации ключей шифрования и шифрованию файлов с определенными расширениями.

Группа вымогателей TellYouThePass, действующая с 2019 года, уже давно нацелена как на предприятия, так и на частных лиц. Предыдущие эксплойты включали использование уязвимостей в Apache Log4j (CVE-2021-44228) и ActiveMQ (CVE-2023-46604) для совершения атак. Используя CVE-2024-4577, они пополнили свой арсенал еще одним инструментом, подчеркнув текущие проблемы, связанные с уязвимостями в широко используемых программных системах.