CVE-2024-4577 ช่องโหว่ PHP ถูกโจมตีโดย TellYouThePass Ransomware Group
ช่องโหว่ ที่ระบุเมื่อเร็วๆ นี้ใน PHP ซึ่งถูกกำหนดให้เป็น CVE-2024-4577 ได้กลายเป็นเป้าหมายของการแสวงหาผลประโยชน์โดยกลุ่ม แรนซัมแวร์ ไม่นานหลังจากการเปิดเผย บริษัทรักษาความปลอดภัยทางไซเบอร์ Imperva เน้นย้ำถึงแนวโน้มการแสวงหาผลประโยชน์ โดยเผยให้เห็นว่าช่องโหว่ดังกล่าวส่งผลกระทบต่อเซิร์ฟเวอร์ Windows ที่ใช้การกำหนดค่า Apache และ PHP-CGI
โดยพื้นฐานแล้ว ข้อบกพร่องดังกล่าวทำให้ผู้โจมตีสามารถแทรกอาร์กิวเมนต์และรันโค้ดที่กำหนดเองได้เมื่อมีการเปิดใช้งานโค้ดเพจบางหน้า เนื่องจากการกำกับดูแลของ PHP ในเรื่องพฤติกรรม 'Best-Fit' ของ Windows ช่องโหว่นี้ทำให้ลำดับอักขระเฉพาะถูกตีความหมายผิดว่าเป็นตัวเลือก PHP ซึ่งอาจนำไปสู่การเรียกใช้โค้ดที่ไม่ได้รับอนุญาต
ผลกระทบของ CVE-2024-4577 ครอบคลุม PHP เวอร์ชันต่างๆ บนระบบ Windows รวมถึงเวอร์ชันเก่าเช่น 8.0, 7 และ 5 ทำให้ PHP ดำเนินการอย่างรวดเร็วด้วยการเปิดตัวเวอร์ชันที่ได้รับแพตช์ 8.1.29, 8.2.20 และ 8.3 8. อย่างไรก็ตาม ภายในไม่กี่วันหลังจากการเปิดเผย PHP และการเปิดตัวแพตช์ กลุ่ม แรนซัมแวร์ TellYouThePass ก็เริ่มใช้ประโยชน์จากเซิร์ฟเวอร์ที่มีช่องโหว่ ดังที่ Imperva สังเกตเห็น การโจมตีมีหลายแง่มุม ซึ่งเกี่ยวข้องกับการพยายามอัปโหลด WebShells และปรับใช้แรนซัมแวร์บนระบบเป้าหมาย
ในการโจมตีเหล่านี้ ผู้คุกคามดำเนินการโค้ด PHP โดยพลการบนเครื่องที่ถูกบุกรุก โดยใช้ประโยชน์จากฟังก์ชัน 'ระบบ' เพื่อเริ่มต้นการดำเนินการไฟล์แอปพลิเคชัน HTML จากเซิร์ฟเวอร์ระยะไกล แรนซัมแวร์ที่ใช้งานโดยกลุ่ม TellYouThePass นั้นเป็นไฟล์ปฏิบัติการ .NET ซึ่งโหลดลงในหน่วยความจำโดยตรงเมื่อมีการดำเนินการ เมื่อสร้างการสื่อสารกับเซิร์ฟเวอร์คำสั่งและควบคุม มัลแวร์จะดำเนินการระบุไดเร็กทอรี หยุดกระบวนการทำงาน สร้างคีย์เข้ารหัส และเข้ารหัสไฟล์ที่มีนามสกุลเฉพาะ
กลุ่มแรนซัมแวร์ TellYouThePass ซึ่งเปิดใช้งานมาตั้งแต่ปี 2019 มีประวัติในการกำหนดเป้าหมายทั้งธุรกิจและบุคคล การหาประโยชน์ก่อนหน้านี้รวมถึงการใช้ประโยชน์จากช่องโหว่ใน Apache Log4j (CVE-2021-44228) และ ActiveMQ (CVE-2023-46604) เพื่อทำการโจมตี ด้วยการใช้ประโยชน์จาก CVE-2024-4577 พวกเขาได้เพิ่มเครื่องมืออื่นให้กับคลังแสงของพวกเขา โดยเน้นย้ำถึงความท้าทายอย่างต่อเนื่องที่เกิดจากช่องโหว่ในระบบซอฟต์แวร์ที่ใช้กันอย่างแพร่หลาย