CVE-2024-4577 PHP'deki Güvenlik Açığı TellYouThePass Fidye Yazılımı Grubu Tarafından İstismar Edildi

PHP'de yakın zamanda tespit edilen ve CVE-2024-4577 olarak adlandırılan bir güvenlik açığı , ortaya çıktıktan kısa bir süre sonra bir fidye yazılımı grubunun istismarının hedefi haline geldi. Siber güvenlik firması Imperva, güvenlik açığının Apache ve PHP-CGI yapılandırmalarını kullanan Windows sunucularını etkilediğini ortaya koyarak istismar eğilimine dikkat çekiyor.

Temel olarak bu kusur, PHP'nin Windows'un 'En İyi Uyum' davranışını denetlemesi nedeniyle saldırganların belirli kod sayfaları etkinleştirildiğinde bağımsız değişkenler eklemesine ve rastgele kod yürütmesine olanak tanıyor. Bu boşluk, belirli karakter dizilerinin PHP seçenekleri olarak yanlış yorumlanmasına ve potansiyel olarak yetkisiz kod yürütülmesine yol açmasına olanak tanır.

CVE-2024-4577'nin etkisi, 8.0, 7 ve 5 gibi eski sürümler de dahil olmak üzere Windows sistemlerindeki çeşitli PHP sürümlerine yayılıyor ve 8.1.29, 8.2.20 ve 8.3 yamalı sürümlerin piyasaya sürülmesiyle PHP'nin hızlı bir şekilde harekete geçmesini sağlıyor. 8. Ancak, Imperva'nın gözlemlediği gibi, PHP'nin ifşa edilmesinden ve yama yayınlanmasından birkaç gün sonra TellYouThePass fidye yazılımı grubu, savunmasız sunuculardan yararlanmaya başladı. Saldırılar, WebShell'leri yükleme ve hedeflenen sistemlere fidye yazılımı dağıtma girişimlerini içeren çok yönlüydü.

Bu saldırılarda, tehdit aktörleri, uzak sunuculardan HTML uygulama dosyalarının yürütülmesini başlatmak için "sistem" işlevinden yararlanarak, ele geçirilen makinelerde rastgele PHP kodu çalıştırdı. TellYouThePass grubu tarafından dağıtılan fidye yazılımı, çalıştırıldığında doğrudan belleğe yüklenen bir .NET yürütülebilir dosyasıdır. Komuta ve kontrol sunucusuyla iletişim kurduktan sonra kötü amaçlı yazılım, dizinleri numaralandırmaya, çalışan işlemleri durdurmaya, şifreleme anahtarları oluşturmaya ve belirli uzantılara sahip dosyaları şifrelemeye devam ediyor.

2019'dan beri aktif olan TellYouThePass fidye yazılımı grubunun hem işletmeleri hem de bireyleri hedef alan bir geçmişi var. Önceki istismarlar arasında saldırı gerçekleştirmek için Apache Log4j (CVE-2021-44228) ve ActiveMQ (CVE-2023-46604) güvenlik açıklarından yararlanılması yer alıyor. CVE-2024-4577'nin kullanılmasıyla birlikte cephaneliklerine başka bir araç ekleyerek, yaygın olarak kullanılan yazılım sistemlerindeki güvenlik açıklarının yol açtığı süregelen zorlukların altını çiziyorlar.