Multi-License Discount Quote
Computer Security Lỗ hổng CVE-2024-4577 PHP bị nhóm ransomware...

Lỗ hổng CVE-2024-4577 PHP bị nhóm ransomware TellYouThePass khai thác

Đến năm Mura năm Computer Security
Dịch sang:
Tiếng Việt Nam

Một lỗ hổng được xác định gần đây trong PHP, được chỉ định là CVE-2024-4577, đã trở thành mục tiêu khai thác của nhóm ransomware ngay sau khi được tiết lộ. Công ty an ninh mạng Imperva nhấn mạnh xu hướng khai thác, tiết lộ rằng lỗ hổng này ảnh hưởng đến các máy chủ Windows sử dụng cấu hình Apache và PHP-CGI.

Về cơ bản, lỗ hổng này cho phép kẻ tấn công chèn các đối số và thực thi mã tùy ý khi một số trang mã nhất định được bật, do sự giám sát của PHP đối với hành vi 'Best-Fit' của Windows. Lỗ hổng này cho phép các chuỗi ký tự cụ thể bị hiểu sai thành các tùy chọn PHP, có khả năng dẫn đến việc thực thi mã trái phép.

Tác động của CVE-2024-4577 trải rộng trên nhiều phiên bản PHP khác nhau trên hệ thống Windows, bao gồm các phiên bản cũ hơn như 8.0, 7 và 5, thúc đẩy PHP hành động nhanh chóng bằng việc phát hành các phiên bản vá lỗi 8.1.29, 8.2.20 và 8.3. số 8. Tuy nhiên, trong vòng vài ngày kể từ khi PHP tiết lộ và phát hành bản vá, nhóm ransomware TellYouThePass đã bắt đầu khai thác các máy chủ dễ bị tấn công, theo quan sát của Imperva. Các cuộc tấn công diễn ra trên nhiều mặt, liên quan đến nỗ lực tải WebShell lên và triển khai phần mềm tống tiền vào các hệ thống được nhắm mục tiêu.

Trong các cuộc tấn công này, kẻ tấn công đã thực thi mã PHP tùy ý trên các máy bị xâm nhập, tận dụng chức năng 'hệ thống' để bắt đầu thực thi các tệp ứng dụng HTML từ các máy chủ từ xa. Phần mềm ransomware do nhóm TellYouThePass triển khai là một tệp thực thi .NET, được tải trực tiếp vào bộ nhớ khi thực thi. Sau khi thiết lập liên lạc với máy chủ ra lệnh và kiểm soát, phần mềm độc hại sẽ tiến hành liệt kê các thư mục, tạm dừng các tiến trình đang chạy, tạo khóa mã hóa và mã hóa các tệp có phần mở rộng cụ thể.

Nhóm ransomware TellYouThePass, hoạt động từ năm 2019, có lịch sử nhắm mục tiêu vào cả doanh nghiệp và cá nhân. Các hoạt động khai thác trước đây bao gồm lợi dụng các lỗ hổng trong Apache Log4j (CVE-2021-44228) và ActiveMQ (CVE-2023-46604) để thực hiện các cuộc tấn công. Với việc khai thác CVE-2024-4577, họ bổ sung thêm một công cụ khác vào kho vũ khí của mình, nhấn mạnh những thách thức đang diễn ra do các lỗ hổng trong các hệ thống phần mềm được sử dụng rộng rãi đặt ra.

Đang tải...