CVE-2024-4577 PHP பாதிப்பு TellYouThePass Ransomware குழுவால் பயன்படுத்தப்பட்டது

PHP இல் சமீபத்தில் அடையாளம் காணப்பட்ட பாதிப்பு , CVE-2024-4577 என நியமிக்கப்பட்டது, அது வெளிப்படுத்தப்பட்ட சிறிது நேரத்திலேயே ransomware குழுவால் சுரண்டலுக்கு இலக்காகியுள்ளது. சைபர் செக்யூரிட்டி நிறுவனமான இம்பர்வா சுரண்டல் போக்கை எடுத்துக்காட்டுகிறது, இது அப்பாச்சி மற்றும் PHP-CGI உள்ளமைவுகளைப் பயன்படுத்தும் விண்டோஸ் சேவையகங்களைப் பாதிக்கிறது என்பதை வெளிப்படுத்துகிறது.

முக்கியமாக, விண்டோஸின் 'பெஸ்ட்-ஃபிட்' நடத்தையை PHPயின் மேற்பார்வையின் காரணமாக, சில குறியீடு பக்கங்கள் இயக்கப்படும்போது, தாக்குபவர்களை வாதங்களைச் செலுத்தவும் தன்னிச்சையான குறியீட்டை இயக்கவும் குறைபாடு அனுமதிக்கிறது. இந்த ஓட்டை குறிப்பிட்ட எழுத்து வரிசைகளை PHP விருப்பங்களாக தவறாகப் புரிந்துகொள்ள அனுமதிக்கிறது, இது அங்கீகரிக்கப்படாத குறியீட்டை செயல்படுத்துவதற்கு வழிவகுக்கும்.

CVE-2024-4577 இன் தாக்கம், 8.0, 7, மற்றும் 5 போன்ற பழைய பதிப்புகள் உட்பட, விண்டோஸ் சிஸ்டங்களில் பல்வேறு PHP பதிப்புகளில் பரவியுள்ளது, இது 8.1.29, 8.2.20 மற்றும் 8.3 ஆகிய பேட்ச் செய்யப்பட்ட பதிப்புகளின் வெளியீட்டில் PHP இலிருந்து விரைவான நடவடிக்கையைத் தூண்டுகிறது. 8. இருப்பினும், PHP இன் வெளிப்பாடு மற்றும் பேட்ச் வெளியான சில நாட்களுக்குள், TellYouThePass ransomware குழுவானது இம்பர்வாவால் கவனிக்கப்பட்ட, பாதிக்கப்படக்கூடிய சேவையகங்களைச் சுரண்டத் தொடங்கியது. தாக்குதல்கள் பன்முகத்தன்மை கொண்டவை, வெப்ஷெல்களை பதிவேற்றும் முயற்சிகள் மற்றும் இலக்கு கணினிகளில் ransomware வரிசைப்படுத்துதல் ஆகியவை அடங்கும்.

இந்த தாக்குதல்களில், அச்சுறுத்தல் நடிகர்கள் தன்னிச்சையான PHP குறியீட்டை சமரசம் செய்யப்பட்ட இயந்திரங்களில் செயல்படுத்தினர், தொலைநிலை சேவையகங்களிலிருந்து HTML பயன்பாட்டுக் கோப்புகளை செயல்படுத்துவதைத் தொடங்க 'சிஸ்டம்' செயல்பாட்டை மேம்படுத்தினர். TellYouThePass குழுவினால் பயன்படுத்தப்படும் ransomware என்பது .NET இயங்கக்கூடியது, செயல்படுத்தப்பட்டவுடன் நேரடியாக நினைவகத்தில் ஏற்றப்படும். அதன் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்துடன் தொடர்பை ஏற்படுத்தியவுடன், மால்வேர் கோப்பகங்களைக் கணக்கிடுகிறது, இயங்கும் செயல்முறைகளை நிறுத்துகிறது, குறியாக்க விசைகளை உருவாக்குகிறது மற்றும் குறிப்பிட்ட நீட்டிப்புகளுடன் கோப்புகளை குறியாக்கம் செய்கிறது.

TellYouThePass ransomware குழு, 2019 முதல் செயலில் உள்ளது, வணிகங்கள் மற்றும் தனிநபர்கள் இரண்டையும் குறிவைத்த வரலாற்றைக் கொண்டுள்ளது. தாக்குதல்களைச் செய்ய Apache Log4j (CVE-2021-44228) மற்றும் ActiveMQ (CVE-2023-46604) ஆகியவற்றில் பாதிப்புகளை மேம்படுத்துவது முந்தைய சுரண்டல்களில் அடங்கும். CVE-2024-4577 இன் சுரண்டலுடன், அவர்கள் தங்கள் ஆயுதக் களஞ்சியத்தில் மற்றொரு கருவியைச் சேர்த்து, பரவலாகப் பயன்படுத்தப்படும் மென்பொருள் அமைப்புகளில் உள்ள பாதிப்புகளால் ஏற்படும் சவால்களை அடிக்கோடிட்டுக் காட்டுகிறார்கள்.