CVE-2024-4577 PHP Vulnerability na Sinamantala ng TellYouThePass Ransomware Group
Ang isang kamakailang natukoy na kahinaan sa PHP, na itinalaga bilang CVE-2024-4577, ay naging target ng pagsasamantala ng isang pangkat ng ransomware sa ilang sandali pagkatapos ng pagbubunyag nito. Itinatampok ng kumpanya ng cybersecurity na Imperva ang trend ng pagsasamantala, na nagpapakita na ang kahinaan ay nakakaapekto sa mga server ng Windows na gumagamit ng mga configuration ng Apache at PHP-CGI.
Sa esensya, pinahihintulutan ng kapintasan ang mga umaatake na mag-inject ng mga argumento at magsagawa ng arbitrary code kapag pinagana ang ilang mga page ng code, dahil sa pangangasiwa ng PHP sa 'Best-Fit' na gawi ng Windows. Ang loophole na ito ay nagbibigay-daan sa mga partikular na pagkakasunud-sunod ng character na ma-misinterpret bilang mga opsyon sa PHP, na posibleng humahantong sa pagpapatupad ng hindi awtorisadong code.
Ang epekto ng CVE-2024-4577 ay sumasaklaw sa iba't ibang bersyon ng PHP sa mga Windows system, kabilang ang mga mas lumang bersyon tulad ng 8.0, 7, at 5, na nag-uudyok ng mabilis na pagkilos mula sa PHP sa paglabas ng mga patched na bersyon 8.1.29, 8.2.20, at 8.3. 8. Gayunpaman, sa loob ng mga araw pagkatapos ng pagsisiwalat ng PHP at paglabas ng patch, ang grupong TellYouThePass ransomware ay nagsimulang magsamantala sa mga mahihinang server, gaya ng naobserbahan ng Imperva. Ang mga pag-atake ay multifaceted, na kinasasangkutan ng mga pagtatangka na mag-upload ng WebShells at mag-deploy ng ransomware sa mga naka-target na system.
Sa mga pag-atakeng ito, ang mga aktor ng pagbabanta ay nagsagawa ng arbitrary na PHP code sa mga nakompromisong makina, na ginagamit ang function na 'system' upang simulan ang pagpapatupad ng mga file ng HTML na application mula sa mga malalayong server. Ang ransomware na na-deploy ng grupong TellYouThePass ay isang .NET executable, na direktang na-load sa memorya kapag naisakatuparan. Sa pagtatatag ng komunikasyon sa command-and-control server nito, nagpapatuloy ang malware sa pagbilang ng mga direktoryo, pagpapahinto ng mga proseso sa pagpapatakbo, pagbuo ng mga susi sa pag-encrypt, at pag-encrypt ng mga file na may mga partikular na extension.
Ang grupong TellYouThePass ransomware, na aktibo mula noong 2019, ay may kasaysayan ng pag-target sa parehong mga negosyo at indibidwal. Kasama sa mga nakaraang pagsasamantala ang paggamit ng mga kahinaan sa Apache Log4j (CVE-2021-44228) at ActiveMQ (CVE-2023-46604) upang magsagawa ng mga pag-atake. Sa pagsasamantala ng CVE-2024-4577, nagdagdag sila ng isa pang tool sa kanilang arsenal, na binibigyang-diin ang mga patuloy na hamon na idinudulot ng mga kahinaan sa malawakang ginagamit na mga software system.