TellYouThePass Ransomware azonnal kihasználja az új PHP sebezhetőséget

A TellYouThePass zsarolóvírus banda aktívan használja ki a PHP nemrég javított CVE-2024-4577 távoli kódfuttatási sebezhetőségét, hogy webshellt küldjön és a célrendszereken titkosíthassa az tárolt adatokat. Ezek a támadások június 8-án kezdődtek, mindössze 48 órával azután, hogy a PHP karbantartói biztonsági frissítéseket adtak ki. A támadók nyilvánosan elérhető exploit kódra támaszkodtak, hogy gyorsan kihasználják a sebezhetőséget. Ez a banda ismert arról, hogy gyorsan használja a nyilvános exploitokat; korábban az Apache ActiveMQ és a Log4j sebezhetőségét használták ki vállalatok behatolásához.

Az Imperva kutatói által észlelt legutóbbi támadásokban a TellYouThePass a kritikus CVE-2024-4577 hibát használta fel tetszőleges PHP kód futtatására. A Windows mshta.exe bináris fájlt használták egy rosszindulatú HTML-alkalmazás (HTA) fájl futtatására, amely VBScriptet tartalmazott egy base64-kódolt karakterlánccal. Ez a karakterlánc egy olyan bináris kóddá dekódolódik, amely a zsarolóprogram .NET változatát tölti be az állomás memóriájába. A végrehajtást követően a kártevő HTTP-kérést küld egy CSS-erőforráskérésnek álcázott parancs- és vezérlő (C2) kiszolgálónak, titkosítja a fertőzött gépen lévő fájlokat, és elhelyez egy váltságdíjat követelő üzenetet, amelyben 0,1 BTC-t (kb. 6700 $) kér a visszafejtésért.

A CVE-2024-4577 az 5.x óta az összes PHP verziót érinti a nem biztonságos karakterkódolási konverziók miatt Windowson, amikor CGI módban használják. A sérülékenységet május 7-én fedezte fel a Devcore munkatársa, Orange Tsai, és június 6-án javították, de a sebezhetőséget kihasználó proof-of-concept kódot másnap közzétették, ami azonnali kihasználási kísérleteket eredményezett. A jelentések szerint több mint 450 000 PHP-kiszolgáló lehet sebezhető, jelentős részük az Egyesült Államokban és Németországban található. A Wiz kutatói úgy becsülik, hogy ezen példányok mintegy 34%-a lehet veszélyeztetett.

(forrás)