Обявена наскоро уязвимост в PHP, за която вече писахме, водеща до отдалечено изпълнение на код, започна да се използва при атаки с цел получаване на откуп дни след публичното ѝ разкриване, съобщава фирмата за киберсигурност Imperva.
Грешката, проследена като CVE-2024-4577, засяга сървъри с Windows, използващи Apache и PHP-CGI, когато системната конфигурация позволява използването на определени страници с код, което позволява на нападателите да инжектират аргументи и да изпълняват произволен код.
Основната причина за проблема е, че имплементацията на PHP не е взела предвид поведението „Best-Fit“ на Windows, което контролира преобразуването на символите Unicode в най-близките съответстващи ANSI символи.
Поради този пропуск нападателите могат да предоставят специфични последователности от символи, които ще бъдат конвертирани и предоставени на модула php-cgi, който може да ги интерпретира погрешно като опции на PHP и да ги предаде на изпълнявания двоичен файл.
CVE-2024-4577 засяга всички версии на PHP за Windows, включително прекратените версии 8.0, 7 и 5, и беше отстранен миналата седмица с пускането на версиите на PHP 8.1.29, 8.2.20 и 8.3.8.
Приблизително два дни след като PHP пусна пачове и оповести публично уязвимостта, бандата TellYouThePass ransomware започна да използва уязвимите сървъри в атаките си, пише Imperva.
„Докато анализирахме атаките, използващи тази уязвимост, забелязахме няколко кампании, включително опити за качване на WebShell и няколко опита за поставяне на ransomware на целевата система“, казва Imperva.
Киберпрестъпниците са били забелязани да изпълняват произволен PHP код на целевите машини и след това да използват функцията „system“, за да стартират HTML файл на приложение от отдалечен уеб сървър.
Нападателите разполагат ransomware TellYouThePass като изпълним файл на .NET, който се зарежда директно в паметта.
След като се изпълни, зловредният софтуер установява комуникация със своя сървър за управление и контрол (C&C), след което изброява директориите, спира работещите процеси, генерира необходимите ключове за криптиране и започва да криптира файлове с определени разширения.
Активен от 2019 г. насам, рансъмуерът TellYouThePass е насочен както към фирми, така и към частни лица, главно при атаки, използващи уязвимостите Apache Log4j (CVE-2021-44228) и ActiveMQ (CVE-2023-46604).
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.