CVE-2024-4577 Ranljivost PHP, ki jo izkorišča skupina izsiljevalskih programov TellYouThePass

Nedavno odkrita ranljivost v PHP, označena kot CVE-2024-4577, je postala tarča izkoriščanja skupine izsiljevalskih programov kmalu po njenem razkritju. Podjetje za kibernetsko varnost Imperva poudarja trend izkoriščanja in razkriva, da ranljivost vpliva na strežnike Windows, ki uporabljajo konfiguracije Apache in PHP-CGI.

Napaka v bistvu dovoljuje napadalcem vstavljanje argumentov in izvajanje poljubne kode, ko so določene kodne strani omogočene, zaradi PHP-jevega nadzora nad vedenjem »Best-Fit« sistema Windows. Ta vrzel omogoča, da se določena zaporedja znakov napačno razlagajo kot možnosti PHP, kar lahko vodi do izvajanja nepooblaščene kode.

Vpliv CVE-2024-4577 sega v različne različice PHP v sistemih Windows, vključno s starejšimi različicami, kot so 8.0, 7 in 5, zaradi česar je PHP hitro ukrepal z izdajo različic s popravki 8.1.29, 8.2.20 in 8.3. 8. Vendar pa je v nekaj dneh po razkritju in izdaji popravka PHP skupina izsiljevalske programske opreme TellYouThePass začela izkoriščati ranljive strežnike, kot je opazila Imperva. Napadi so bili večplastni, vključevali so poskuse nalaganja WebShells in nameščanja izsiljevalske programske opreme v ciljne sisteme.

V teh napadih so akterji groženj izvajali poljubno kodo PHP na ogroženih strojih, pri čemer so izkoriščali 'sistemsko' funkcijo za začetek izvajanja aplikacijskih datotek HTML z oddaljenih strežnikov. Izsiljevalska programska oprema, ki jo uporablja skupina TellYouThePass, je izvedljiva datoteka .NET, ki se po izvedbi naloži neposredno v pomnilnik. Ko vzpostavi komunikacijo s svojim ukazno-nadzornim strežnikom, zlonamerna programska oprema nadaljuje s številčenjem imenikov, zaustavitvijo izvajajočih se procesov, ustvarjanjem šifrirnih ključev in šifriranjem datotek s posebnimi končnicami.

Skupina izsiljevalske programske opreme TellYouThePass, ki je aktivna od leta 2019, ima zgodovino ciljanja na podjetja in posameznike. Prejšnja izkoriščanja vključujejo izkoriščanje ranljivosti v Apache Log4j (CVE-2021-44228) in ActiveMQ (CVE-2023-46604) za izvajanje napadov. Z izkoriščanjem CVE-2024-4577 dodajajo še eno orodje v svoj arzenal, s čimer poudarjajo nenehne izzive, ki jih predstavljajo ranljivosti v široko uporabljanih programskih sistemih.