CVE-2024-4577 PHP-sårbarhet som utnyttjas av TellYouThePass Ransomware Group

En nyligen identifierad sårbarhet i PHP, betecknad som CVE-2024-4577, har blivit målet för exploatering av en ransomware- grupp kort efter att den avslöjats. Cybersäkerhetsföretaget Imperva lyfter fram exploateringstrenden och avslöjar att sårbarheten påverkar Windows-servrar som använder Apache- och PHP-CGI-konfigurationer.

I grund och botten tillåter felet angripare att injicera argument och exekvera godtycklig kod när vissa teckentabeller är aktiverade, på grund av PHPs tillsyn av Windows 'Best-Fit'-beteende. Detta kryphål tillåter att specifika teckensekvenser misstolkas som PHP-alternativ, vilket kan leda till exekvering av otillåten kod.

Effekten av CVE-2024-4577 sträcker sig över olika PHP-versioner på Windows-system, inklusive äldre versioner som 8.0, 7 och 5, vilket föranleder snabba åtgärder från PHP med lanseringen av korrigerade versioner 8.1.29, 8.2.20 och 8.3. 8. Men inom några dagar efter PHPs avslöjande och patchsläpp, började TellYouThePass ransomware- gruppen utnyttja sårbara servrar, som observerats av Imperva. Attackerna var mångfacetterade och involverade försök att ladda upp WebShells och distribuera ransomware på riktade system.

I dessa attacker exekverade hotaktörer godtycklig PHP-kod på komprometterade maskiner och utnyttjade "system"-funktionen för att initiera exekvering av HTML-programfiler från fjärrservrar. Ransomware som distribueras av TellYouThePass-gruppen är en körbar .NET-fil som laddas direkt i minnet vid körning. Efter att ha upprättat kommunikation med sin kommando-och-kontrollserver fortsätter den skadliga programvaran att räkna upp kataloger, stoppa processer som körs, generera krypteringsnycklar och kryptera filer med specifika tillägg.

TellYouThePass ransomware-gruppen, aktiv sedan 2019, har en historia av att rikta in sig på både företag och individer. Tidigare utnyttjande inkluderar att utnyttja sårbarheter i Apache Log4j (CVE-2021-44228) och ActiveMQ (CVE-2023-46604) för att utföra attacker. Med utnyttjandet av CVE-2024-4577 lägger de till ytterligare ett verktyg till sin arsenal, vilket understryker de pågående utmaningar som sårbarheter i mycket använda programvarusystem utgör.