CVE-2024-4577 Dobësia PHP e shfrytëzuar nga TellYouThePass Ransomware Group
Një cenueshmëri e identifikuar së fundi në PHP, e përcaktuar si CVE-2024-4577, është bërë objektivi i shfrytëzimit nga një grup ransomware menjëherë pas zbulimit të tij. Firma e sigurisë kibernetike Imperva thekson tendencën e shfrytëzimit, duke zbuluar se dobësia prek serverët e Windows që përdorin konfigurimet Apache dhe PHP-CGI.
Në thelb, defekti i lejon sulmuesit të injektojnë argumente dhe të ekzekutojnë kod arbitrar kur aktivizohen disa faqe kodesh, për shkak të mbikëqyrjes së PHP-së ndaj sjelljes 'Best-Fit' të Windows. Ky boshllëk lejon që sekuencat e karaktereve specifike të keqinterpretohen si opsione PHP, duke çuar potencialisht në ekzekutimin e kodit të paautorizuar.
Ndikimi i CVE-2024-4577 shtrihet në versione të ndryshme PHP në sistemet Windows, duke përfshirë versionet më të vjetra si 8.0, 7 dhe 5, duke nxitur veprim të shpejtë nga PHP me lëshimin e versioneve të patchuara 8.1.29, 8.2.20 dhe 8.3. 8. Sidoqoftë, brenda disa ditësh nga zbulimi i PHP dhe lëshimi i patch-it, grupi i ransomware-it TellYouThePass filloi të shfrytëzonte serverët e cenueshëm, siç u vërejt nga Imperva. Sulmet ishin të shumëanshme, duke përfshirë përpjekje për të ngarkuar WebShells dhe për të vendosur ransomware në sistemet e synuara.
Në këto sulme, aktorët e kërcënimit ekzekutuan kodin arbitrar PHP në makinat e komprometuara, duke shfrytëzuar funksionin 'sistemi' për të inicuar ekzekutimin e skedarëve të aplikacionit HTML nga serverët e largët. ransomware i vendosur nga grupi TellYouThePass është një ekzekutues .NET, i ngarkuar direkt në memorie pas ekzekutimit. Pas vendosjes së komunikimit me serverin e tij të komandës dhe kontrollit, malware vazhdon të numërojë drejtoritë, të ndalojë proceset e ekzekutimit, të gjenerojë çelësa enkriptimi dhe të kripojë skedarët me shtesa specifike.
Grupi i ransomware TellYouThePass, aktiv që nga viti 2019, ka një histori të shënjestruar si biznese ashtu edhe individë. Shfrytëzimi i mëparshëm përfshin shfrytëzimin e dobësive në Apache Log4j (CVE-2021-44228) dhe ActiveMQ (CVE-2023-46604) për të kryer sulme. Me shfrytëzimin e CVE-2024-4577, ata shtojnë një mjet tjetër në arsenalin e tyre, duke nënvizuar sfidat e vazhdueshme që vijnë nga dobësitë në sistemet softuerike të përdorura gjerësisht.