Menu dostępności

Gang ransomware wykorzystuje lukę w zabezpieczeniach PHP

Gang ransomware wykorzystuje lukę w zabezpieczeniach PHP!

Luka w zabezpieczeniach PHP zaczęła być wykorzystywana w atakach oprogramowania ransomware kilka dni po jej publicznym ujawnieniu – podaje Imperva, firma zajmująca się bezpieczeństwem cybernetycznym.

Błąd, oznaczony jako CVE-2024-4577, wpływa na serwery Windows korzystające z Apache i PHP-CGI, gdy konfiguracja systemu pozwala na użycie określonych stron kodowych, umożliwiając atakującym wstrzykiwanie argumentów i wykonanie dowolnego kodu.

Główną przyczyną problemu jest to, że implementacja PHP nie uwzględniła zachowania „Best-Fit” systemu Windows, które kontroluje konwersję znaków Unicode na najbliższe pasujące znaki ANSI.

Z powodu tego przeoczenia napastnicy mogą dostarczyć określone sekwencje znaków, które zostaną przekonwertowane i dostarczone do modułu php-cgi, co maszyna może błędnie zinterpretować jako opcje PHP i przekazać do uruchamianego pliku binarnego.

CVE-2024-4577 dotyczy wszystkich wersji PHP w systemie Windows, w tym wycofanych 8.0, 7 i 5, i został rozwiązany w zeszłym tygodniu wraz z wydaniem wersji PHP 8.1.29, 8.2.20 i 8.3.8.

Imperva twierdzi, że mniej więcej dwa dni po wydaniu przez PHP łatek i publicznym ujawnieniu luki gang zajmujący się oprogramowaniem ransomware TellYouThePass zaczął wykorzystywać podatne na ataki serwery.

„Podczas analizy ataków wykorzystujących tę lukę zauważyliśmy kilka kampanii, w tym próby przesłania oprogramowania WebShell i kilka prób umieszczenia oprogramowania ransomware w systemie docelowym” – mówi Imperva.

Widziano, jak ugrupowania zagrażające wykonywały dowolny kod PHP na komputerach docelowych, a następnie korzystały z funkcji „systemowej” w celu uruchomienia pliku aplikacji HTML ze zdalnego serwera internetowego.

Hakerzy wdrażają oprogramowanie ransomware TellYouThePass w postaci pliku wykonywalnego .NET, który jest ładowany bezpośrednio do pamięci.

Po uruchomieniu szkodliwe oprogramowanie nawiązuje komunikację ze swoim serwerem dowodzenia i kontroli (C&C), następnie wylicza katalogi, zatrzymuje działające procesy, generuje wymagane klucze szyfrujące i rozpoczyna szyfrowanie plików z określonymi rozszerzeniami. TellYouThePass jest aktywny od 2019 r. Gang ransomware atakuje zarówno firmy, jak i osoby prywatne, głównie poprzez uderzenia wykorzystujące lukę w zabezpieczeniach Apache Log4j, o której pisaliśmy tutaj (CVE-2021-44228) i ActiveMQ (CVE-2023-46604).

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Nowy exploit zero-day dla Windows. Microsoft znów pod presją

Środowisko bezpieczeństwa IT ponownie żyje informacjami o ujawnieniu exploita typu zero-day dla systemów Microsoft Windows. Tym razem badacz bezpieczeństwa znany pod pseudonimem Chaotic Eclipse opub...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...