CVE-2024-4577 Уразливість PHP використовує група програм-вимагачів TellYouThePass

Нещодавно виявлена вразливість у PHP, позначена як CVE-2024-4577, стала об’єктом експлуатації групи програм-вимагачів незабаром після її розкриття. Фірма з кібербезпеки Imperva підкреслює тенденцію експлуатації, показуючи, що вразливість впливає на сервери Windows, які використовують конфігурації Apache і PHP-CGI.

По суті, недолік дозволяє зловмисникам вставляти аргументи та виконувати довільний код, коли певні кодові сторінки ввімкнено, через недогляд PHP за поведінкою Windows «Best-Fit». Ця лазівка дозволяє конкретні послідовності символів неправильно інтерпретувати як параметри PHP, що потенційно може призвести до виконання неавторизованого коду.

Вплив CVE-2024-4577 поширюється на різні версії PHP у системах Windows, включаючи старіші версії, як-от 8.0, 7 і 5, що спонукає PHP до швидких дій із випуском виправлених версій 8.1.29, 8.2.20 і 8.3. 8. Однак за кілька днів після оприлюднення PHP і випуску виправлення група програм-вимагачів TellYouThePass почала використовувати вразливі сервери, як помітила Imperva. Атаки були багатогранними, включали спроби завантажити WebShells і розгорнути програми-вимагачі на цільових системах.

Під час цих атак зловмисники виконували довільний PHP-код на скомпрометованих машинах, використовуючи функцію «система», щоб ініціювати виконання файлів додатків HTML із віддалених серверів. Програма-вимагач, розгорнута групою TellYouThePass, є виконуваним файлом .NET, який завантажується безпосередньо в пам’ять після виконання. Після встановлення зв’язку зі своїм командно-контрольним сервером зловмисне програмне забезпечення продовжує перераховувати каталоги, зупиняти запущені процеси, генерувати ключі шифрування та шифрувати файли з певними розширеннями.

Група програм-вимагачів TellYouThePass, яка працює з 2019 року, має історію націлювання як на компанії, так і на окремих осіб. Попередні експлойти включають використання вразливостей в Apache Log4j (CVE-2021-44228) і ActiveMQ (CVE-2023-46604) для здійснення атак. З використанням CVE-2024-4577 вони додають ще один інструмент до свого арсеналу, підкреслюючи постійні проблеми, пов’язані з уразливими місцями в широко використовуваних програмних системах.