Jak informuje firma zajmująca się cyberbezpieczeństwem Imperva, niedawno odkryta luka w PHP, prowadząca do zdalnego wykonywania kodu, zaczęła być wykorzystywana w atakach ransomware kilka dni po jej publicznym ujawnieniu.
Luka, oznaczona jako CVE-2024-4577, dotyczy serwerów Windows używających Apache i PHP-CGI, gdy konfiguracja systemu pozwala na użycie określonych stron kodowych, co umożliwia atakującym wstrzykiwanie argumentów i wykonywanie dowolnego kodu.
GłównÄ… przyczynÄ… problemu jest to, że implementacja PHP nie uwzglÄ™dniÅ‚a zachowania “Best-Fit” systemu Windows, które kontroluje konwersjÄ™ znaków Unicode na najbliżej pasujÄ…ce znaki ANSI.
Luka w PHP za sprawÄ… przeoczenia
Z powodu tego przeoczenia atakujący mogą dostarczać specyficzne sekwencje znaków, które zostaną przekształcone i przekazane do modułu php-cgi, który może je błędnie zinterpretować jako opcje PHP i przekazać je do uruchamianego pliku binarnego.
CVE-2024-4577 dotyczy wszystkich wersji PHP na Windows, w tym wycofanych wersji 8.0, 7 i 5, i została rozwiązana w zeszłym tygodniu wraz z wydaniem PHP w wersjach 8.1.29, 8.2.20 i 8.3.8.
Około dwa dni po wdrożeniu poprawek PHP i publicznym ujawnieniu luki, gang ransomware TellYouThePass zaczął wykorzystywać podatne serwery w atakach.
Podczas analizy ataków wykorzystujących tę lukę zauważyliśmy kilka kampanii, w tym próby przesyłania WebShell oraz kilka prób umieszczenia ransomware na docelowym systemie
podaje Imperva
Zauważono, że cyberprzestÄ™pcy uruchamiajÄ… dowolny kod PHP na docelowych maszynach, a nastÄ™pnie używajÄ… funkcji “system” do uruchomienia pliku aplikacji HTML ze zdalnego serwera webowego.
Atakujący wdrażają ransomware TellYouThePass jako wykonywalny plik .NET, który jest ładowany bezpośrednio do pamięci.
Po załadowaniu złośliwe oprogramowanie nawiązuje komunikację z serwerem command-and-control (C&C), następnie przeszukuje katalogi, zatrzymuje działające procesy, generuje wymagane klucze szyfrujące i zaczyna szyfrować pliki o określonych rozszerzeniach.
Aktywny od 2019 roku ransomware TellYouThePass atakuje zarówno firmy, jak i osoby prywatne, głównie w atakach wykorzystujących luki w Apache Log4j (CVE-2021-44228) oraz ActiveMQ (CVE-2023-46604).
Czytaj też: