ЦВЕ-2024-4577 ПХП рањивост искористила ТеллИоуТхеПасс Рансомваре Гроуп

Недавно идентификована рањивост у ПХП-у, означена као ЦВЕ-2024-4577, постала је мета експлоатације групе рансомваре-а убрзо након откривања. Фирма за сајбер безбедност Имперва истиче тренд експлоатације, откривајући да рањивост утиче на Виндовс сервере који користе Апацхе и ПХП-ЦГИ конфигурације.

У суштини, мана дозвољава нападачима да унесу аргументе и изврше произвољан код када су одређене кодне странице омогућене, због ПХП-овог надзора над понашањем Виндовс-а „Најбоље уклапање“. Ова рупа омогућава да одређене секвенце знакова буду погрешно протумачене као ПХП опције, што потенцијално доводи до извршавања неовлашћеног кода.

Утицај ЦВЕ-2024-4577 обухвата различите верзије ПХП-а на Виндовс системе, укључујући старије верзије као што су 8.0, 7 и 5, што је подстакло брзу акцију од ПХП-а са издавањем закрпљених верзија 8.1.29, 8.2.20 и 8.3. 8. Међутим, неколико дана од објављивања ПХП-а и објављивања закрпе, група ТеллИоуТхеПасс рансомваре-а почела је да искоришћава рањиве сервере, како је приметио Имперва. Напади су били вишеструки, укључивали су покушаје да се учитају ВебСхеллс и имплементирају рансомваре на циљане системе.

У овим нападима, актери претњи су извршили произвољан ПХП код на компромитованим машинама, користећи функцију 'система' да иницирају извршавање ХТМЛ датотека апликације са удаљених сервера. Рансомвер који је применила група ТеллИоуТхеПасс је .НЕТ извршна датотека, која се учитава директно у меморију након извршења. Након успостављања комуникације са својим сервером за команду и контролу, злонамерни софтвер наставља да набраја директоријуме, зауставља покренуте процесе, генерише кључеве за шифровање и шифрује датотеке са одређеним екстензијама.

Група ТеллИоуТхеПасс рансомваре, активна од 2019. године, има историју циљања и на предузећа и на појединце. Претходне експлоатације укључују коришћење рањивости у Апацхе Лог4ј (ЦВЕ-2021-44228) и АцтивеМК (ЦВЕ-2023-46604) за вршење напада. Са коришћењем ЦВЕ-2024-4577, они додају још један алат свом арсеналу, наглашавајући текуће изазове које представљају рањивости у широко коришћеним софтверским системима.