Gang ransomware wykorzystuje lukę w zabezpieczeniach PHP!

Błąd, oznaczony jako CVE-2024-4577, wpływa na serwery Windows korzystające z Apache i PHP-CGI, gdy konfiguracja systemu pozwala na użycie określonych stron kodowych, umożliwiając atakującym wstrzykiwanie argumentów i wykonanie dowolnego kodu.

Główną przyczyną problemu jest to, że implementacja PHP nie uwzględniła zachowania „Best-Fit” systemu Windows, które kontroluje konwersję znaków Unicode na najbliższe pasujące znaki ANSI.

Z powodu tego przeoczenia napastnicy mogą dostarczyć określone sekwencje znaków, które zostaną przekonwertowane i dostarczone do modułu php-cgi, co maszyna może błędnie zinterpretować jako opcje PHP i przekazać do uruchamianego pliku binarnego.

CVE-2024-4577 dotyczy wszystkich wersji PHP w systemie Windows, w tym wycofanych 8.0, 7 i 5, i został rozwiązany w zeszłym tygodniu wraz z wydaniem wersji PHP 8.1.29, 8.2.20 i 8.3.8.

Imperva twierdzi, że mniej więcej dwa dni po wydaniu przez PHP łatek i publicznym ujawnieniu luki gang zajmujący się oprogramowaniem ransomware TellYouThePass zaczął wykorzystywać podatne na ataki serwery.

„Podczas analizy ataków wykorzystujących tę lukę zauważyliśmy kilka kampanii, w tym próby przesłania oprogramowania WebShell i kilka prób umieszczenia oprogramowania ransomware w systemie docelowym” – mówi Imperva.

Widziano, jak ugrupowania zagrażające wykonywały dowolny kod PHP na komputerach docelowych, a następnie korzystały z funkcji „systemowej” w celu uruchomienia pliku aplikacji HTML ze zdalnego serwera internetowego.

Hakerzy wdrażają oprogramowanie ransomware TellYouThePass w postaci pliku wykonywalnego .NET, który jest ładowany bezpośrednio do pamięci.

Po uruchomieniu szkodliwe oprogramowanie nawiązuje komunikację ze swoim serwerem dowodzenia i kontroli (C&C), następnie wylicza katalogi, zatrzymuje działające procesy, generuje wymagane klucze szyfrujące i rozpoczyna szyfrowanie plików z określonymi rozszerzeniami. TellYouThePass jest aktywny od 2019 r. Gang ransomware atakuje zarówno firmy, jak i osoby prywatne, głównie poprzez uderzenia wykorzystujące lukę w zabezpieczeniach Apache Log4j, o której pisaliśmy tutaj (CVE-2021-44228) i ActiveMQ (CVE-2023-46604).