Jak informuje firma zajmująca się cyberbezpieczeństwem Imperva, niedawno odkryta luka w PHP, prowadząca do zdalnego wykonywania kodu, zaczęła być wykorzystywana w atakach ransomware kilka dni po jej publicznym ujawnieniu.

Luka, oznaczona jako CVE-2024-4577, dotyczy serwerów Windows używających Apache i PHP-CGI, gdy konfiguracja systemu pozwala na użycie określonych stron kodowych, co umożliwia atakującym wstrzykiwanie argumentów i wykonywanie dowolnego kodu.

Główną przyczyną problemu jest to, że implementacja PHP nie uwzględniła zachowania “Best-Fit” systemu Windows, które kontroluje konwersję znaków Unicode na najbliżej pasujące znaki ANSI.

Luka w PHP za sprawą przeoczenia

Z powodu tego przeoczenia atakujący mogą dostarczać specyficzne sekwencje znaków, które zostaną przekształcone i przekazane do modułu php-cgi, który może je błędnie zinterpretować jako opcje PHP i przekazać je do uruchamianego pliku binarnego.

CVE-2024-4577 dotyczy wszystkich wersji PHP na Windows, w tym wycofanych wersji 8.0, 7 i 5, i została rozwiązana w zeszłym tygodniu wraz z wydaniem PHP w wersjach 8.1.29, 8.2.20 i 8.3.8.

Około dwa dni po wdrożeniu poprawek PHP i publicznym ujawnieniu luki, gang ransomware TellYouThePass zaczął wykorzystywać podatne serwery w atakach.

Podczas analizy ataków wykorzystujących tę lukę zauważyliśmy kilka kampanii, w tym próby przesyłania WebShell oraz kilka prób umieszczenia ransomware na docelowym systemie

podaje Imperva

Zauważono, że cyberprzestępcy uruchamiają dowolny kod PHP na docelowych maszynach, a następnie używają funkcji “system” do uruchomienia pliku aplikacji HTML ze zdalnego serwera webowego.

Atakujący wdrażają ransomware TellYouThePass jako wykonywalny plik .NET, który jest ładowany bezpośrednio do pamięci.

Po załadowaniu złośliwe oprogramowanie nawiązuje komunikację z serwerem command-and-control (C&C), następnie przeszukuje katalogi, zatrzymuje działające procesy, generuje wymagane klucze szyfrujące i zaczyna szyfrować pliki o określonych rozszerzeniach.

Aktywny od 2019 roku ransomware TellYouThePass atakuje zarówno firmy, jak i osoby prywatne, głównie w atakach wykorzystujących luki w Apache Log4j (CVE-2021-44228) oraz ActiveMQ (CVE-2023-46604).

Czytaj też: