آسیبپذیری PHP CVE-2024-4577 توسط گروه باجافزار TellYouThePass مورد سوء استفاده قرار گرفت.
یک آسیبپذیری اخیراً شناساییشده در PHP، با نام CVE-2024-4577، مدت کوتاهی پس از افشای آن، هدف سوء استفاده یک گروه باجافزار قرار گرفت. شرکت امنیت سایبری Imperva روند بهره برداری را برجسته می کند و آشکار می کند که این آسیب پذیری بر سرورهای ویندوزی که از تنظیمات آپاچی و PHP-CGI استفاده می کنند تأثیر می گذارد.
اساساً، این نقص به مهاجمان اجازه میدهد تا زمانی که صفحات کد خاصی فعال هستند، آرگومانها را تزریق کرده و کد دلخواه را اجرا کنند، زیرا پیاچپی بر رفتار «Best-Fit» ویندوز نظارت دارد. این حفره اجازه میدهد توالیهای کاراکتر خاص بهعنوان گزینههای PHP تفسیر شوند، که به طور بالقوه منجر به اجرای کدهای غیرمجاز میشود.
تأثیر CVE-2024-4577 در نسخههای مختلف PHP روی سیستمهای ویندوز، از جمله نسخههای قدیمیتر مانند 8.0، 7، و 5 است که باعث میشود PHP با انتشار نسخههای وصلهشده 8.1.29، 8.2.20 و 8.3 اقدام سریعی انجام دهد. 8. با این حال، طی چند روز پس از افشای PHP و انتشار وصله، گروه باجافزار TellYouThePass شروع به بهرهبرداری از سرورهای آسیبپذیر کرد، همانطور که توسط Imperva مشاهده شد. این حملات چند وجهی بودند و شامل تلاش برای آپلود WebShells و استقرار باجافزار بر روی سیستمهای هدف میشد.
در این حملات، عوامل تهدید کد PHP دلخواه را بر روی ماشینهای در معرض خطر اجرا میکردند و از عملکرد "سیستم" برای شروع اجرای فایلهای برنامه HTML از سرورهای راه دور استفاده میکردند. باج افزار مستقر شده توسط گروه TellYouThePass یک فایل اجرایی دات نت است که پس از اجرا مستقیماً در حافظه بارگذاری می شود. بدافزار پس از برقراری ارتباط با سرور فرمان و کنترل خود، به شمارش دایرکتوری ها، توقف فرآیندهای در حال اجرا، تولید کلیدهای رمزگذاری و رمزگذاری فایل ها با پسوندهای خاص اقدام می کند.
گروه باج افزار TellYouThePass که از سال 2019 فعال است، سابقه هدف قرار دادن مشاغل و افراد را دارد. اکسپلویت های قبلی شامل استفاده از آسیب پذیری های Apache Log4j (CVE-2021-44228) و ActiveMQ (CVE-2023-46604) برای انجام حملات است. با بهره برداری از CVE-2024-4577، آنها ابزار دیگری را به زرادخانه خود اضافه می کنند و بر چالش های مداوم ناشی از آسیب پذیری ها در سیستم های نرم افزاری پرکاربرد تأکید می کنند.