Luka w zabezpieczeniach PHP zaczęła być wykorzystywana w atakach systemu ransomware kilka dni po jej publicznym ujawnieniu – podaje Imperva, firma zajmująca się bezpieczeństwem cybernetycznym.
Błąd, oznaczony jako CVE-2024-4577, wpływa na serwery Windows korzystające z Apache i PHP-CGI, gdy konfiguracja systemu pozwala na użycie określonych stron kodowych, umożliwiając atakującym wstrzykiwanie argumentów i wykonanie dowolnego kodu.
Główną przyczyną problemu jest to, iż implementacja PHP nie uwzględniła zachowania „Best-Fit” systemu Windows, które kontroluje konwersję znaków Unicode na najbliższe pasujące znaki ANSI.
Z powodu tego przeoczenia napastnicy mogą dostarczyć określone sekwencje znaków, które zostaną przekonwertowane i dostarczone do modułu php-cgi, co maszyna może błędnie zinterpretować jako opcje PHP i przekazać do uruchamianego pliku binarnego.
CVE-2024-4577 dotyczy wszystkich wersji PHP w systemie Windows, w tym wycofanych 8.0, 7 i 5, i został rozwiązany w zeszłym tygodniu wraz z wydaniem wersji PHP 8.1.29, 8.2.20 i 8.3.8.
Imperva twierdzi, iż mniej więcej dwa dni po wydaniu przez PHP łatek i publicznym ujawnieniu luki gang zajmujący się oprogramowaniem ransomware TellYouThePass zaczął wykorzystywać podatne na ataki serwery.
„Podczas analizy ataków wykorzystujących tę lukę zauważyliśmy kilka kampanii, w tym próby przesłania systemu WebShell i kilka prób umieszczenia systemu ransomware w systemie docelowym” – mówi Imperva.
Widziano, jak ugrupowania zagrażające wykonywały dowolny kod PHP na komputerach docelowych, a następnie korzystały z funkcji „systemowej” w celu uruchomienia pliku aplikacji HTML ze zdalnego serwera internetowego.
Hakerzy wdrażają oprogramowanie ransomware TellYouThePass w postaci pliku wykonywalnego .NET, który jest ładowany bezpośrednio do pamięci.
Po uruchomieniu szkodliwe oprogramowanie nawiązuje komunikację ze swoim serwerem dowodzenia i kontroli (C&C), następnie wylicza katalogi, zatrzymuje działające procesy, generuje wymagane klucze szyfrujące i rozpoczyna szyfrowanie plików z określonymi rozszerzeniami. TellYouThePass jest aktywny od 2019 r. Gang ransomware atakuje zarówno firmy, jak i osoby prywatne, głównie poprzez uderzenia wykorzystujące lukę w zabezpieczeniach Apache Log4j, o której pisaliśmy tutaj (CVE-2021-44228) i ActiveMQ (CVE-2023-46604).