CVE-2024-4577 PHP zraniteľnosť využívaná TellYouThePass Ransomware Group
Nedávno identifikovaná zraniteľnosť v PHP, označená ako CVE-2024-4577, sa stala terčom zneužitia ransomvérovou skupinou krátko po jej odhalení. Spoločnosť Imperva zaoberajúca sa kybernetickou bezpečnosťou zdôrazňuje trend využívania a odhaľuje, že táto zraniteľnosť ovplyvňuje servery Windows využívajúce konfigurácie Apache a PHP-CGI.
Chyba v podstate umožňuje útočníkom vkladať argumenty a spúšťať ľubovoľný kód, keď sú povolené určité kódové stránky, kvôli tomu, že PHP dohliadalo na 'Best-Fit' správanie systému Windows. Táto medzera umožňuje, aby boli špecifické sekvencie znakov nesprávne interpretované ako možnosti PHP, čo môže viesť k spusteniu neoprávneného kódu.
Vplyv CVE-2024-4577 sa vzťahuje na rôzne verzie PHP na systémoch Windows, vrátane starších verzií ako 8.0, 7 a 5, čo si vyžiadalo rýchlu akciu zo strany PHP s vydaním opravených verzií 8.1.29, 8.2.20 a 8.3. 8. V priebehu niekoľkých dní po zverejnení PHP a vydaní opravy však skupina ransomvéru TellYouThePass začala zneužívať zraniteľné servery, ako si všimol Imperva. Útoky boli mnohostranné, zahŕňali pokusy o nahranie WebShells a nasadenie ransomvéru na cielené systémy.
Pri týchto útokoch aktéri hrozieb spúšťali ľubovoľný PHP kód na napadnutých počítačoch, pričom využívali funkciu „systému“ na spustenie spúšťania súborov aplikácie HTML zo vzdialených serverov. Ransomvér nasadený skupinou TellYouThePass je spustiteľný súbor .NET, ktorý sa po spustení načíta priamo do pamäte. Po nadviazaní komunikácie so svojim príkazovým a riadiacim serverom, malvér pokračuje v vymenovávaní adresárov, zastavuje bežiace procesy, generuje šifrovacie kľúče a šifruje súbory so špecifickými príponami.
Ransomvérová skupina TellYouThePass, ktorá je aktívna od roku 2019, sa v minulosti zameriavala na firmy aj jednotlivcov. Predchádzajúce exploity zahŕňajú využitie zraniteľností v Apache Log4j (CVE-2021-44228) a ActiveMQ (CVE-2023-46604) na páchanie útokov. S využitím CVE-2024-4577 pridávajú do svojho arzenálu ďalší nástroj, ktorý zdôrazňuje pretrvávajúce výzvy, ktoré predstavujú zraniteľnosti v široko používaných softvérových systémoch.