Новости CVE-2024-4577 в PHP: вымогательское ПО TellYouThePass захватывает серверы по всему миру

NewsMaker

I'm just a script
Премиум
14,594
22
8 Ноя 2022
Многие заражённые серверы перестают отвечать на запросы, что затрудняет обнаружение заражений.


tj82v84p3g7i7h7d3fq64k2n4tzwrm1g.jpg


В сети Для просмотра ссылки Войди или Зарегистрируйся новая угроза безопасности, связанная с уязвимостью в языке программирования PHP , которая позволяет злоумышленникам выполнять вредоносный код на веб-серверах. Исследователи в области кибербезопасности сообщают о стремительном распространении этой уязвимости и её использовании для установки вымогательского ПО TellYouThePass.

По данным компании Censys, к 13 июня было обнаружено около 1000 серверов, зараженных шифровальщиком TellYouThePass, что меньше по сравнению с 1800 случаями, зафиксированными 10 июня. Большинство из них расположены в Китае. Вместо привычного содержимого сайты отображают список файлов, расширения которых дополнены символами «.locked», что указывает на шифрование. Сопутствующая записка с требованием выкупа предлагает вернуть доступ к файлам за примерно 6500 долларов США.

Уязвимость, зарегистрированная как CVE-2024-4577 и имеющая рейтинг опасности 9,8 из 10, возникает из-за ошибок в преобразовании символов Unicode в ASCII в PHP. Встроенная функция Windows под названием Best Fit позволяет злоумышленникам использовать технику инъекции аргументов для передачи вредоносных команд основному приложению PHP. Эта уязвимость позволяет обходить CVE-2012-1823, критическую уязвимость, устранённую в PHP в 2012 году.

CVE-2024-4577 затрагивает PHP только в режиме CGI, когда веб-сервер обрабатывает HTTP-запросы и передаёт их PHP-скрипту. Однако уязвимость может быть эксплуатирована и в том случае, если исполняемые файлы PHP, такие как php.exe и php-cgi.exe, находятся в директориях, доступных веб-серверу. Такая конфигурация встречается крайне редко, за исключением платформы XAMPP, в которой она используется по умолчанию. Ещё одним условием является настройка локали Windows на китайский или японский язык.

Критическая уязвимость Для просмотра ссылки Войди или Зарегистрируйся 6 июня вместе с патчем безопасности. В течение 24 часов злоумышленники начали её использовать для установки TellYouThePass. Исследователи компании Imperva Для просмотра ссылки Войди или Зарегистрируйся , что вредоносный код использует бинарный файл mshta.exe для выполнения HTML-приложения, размещённого на сервере злоумышленников. Использование этого бинарного файла указывает на подход, известный как «living off the land», когда злоумышленники применяют встроенные функции и инструменты ОС для маскировки своих действий под легитимную деятельность.

Исследователи Censys Для просмотра ссылки Войди или Зарегистрируйся , что кампания по распространению TellYouThePass началась 7 июня и напоминает другие атаки, в которых злоумышленники массово сканируют интернет в поисках уязвимых систем после обнаружения серьезной бреши. Большинство зараженных серверов находятся в Китае, Тайване, Гонконге и Японии, что, вероятно, связано с тем, что уязвимость подтверждена только для систем, настроенных на китайский или японский языки.

С тех пор количество заражённых сайтов колебалось от 670 на 8 июня до 1800 на 10 июня. Исследователи Censys отмечают, что они не до конца уверены в причинах изменения этих цифр.

«С нашей точки зрения, многие скомпрометированные хосты остаются онлайн, но порт, на котором работает PHP-CGI или XAMPP, перестаёт отвечать, что и объясняет снижение количества обнаруженных заражений,» - написали они. «Также стоит учитывать, что в настоящее время не зарегистрировано никаких выплат вымогателям на единственный Для просмотра ссылки Войди или Зарегистрируйся , указанный в записках о выкупе. Основываясь на этих фактах, наша интуиция подсказывает, что это, вероятно, результат вывода из эксплуатации этих сервисов или их отключения по другим причинам».

Исследователи также отметили, что примерно на половине взломанных систем, судя по всему, использовался XAMPP. Однако эта цифра может быть занижена, поскольку не все службы явно указывают используемое программное обеспечение.

«Учитывая, что XAMPP уязвим по умолчанию, можно предположить, что большинство зараженных систем используют именно его», - говорят исследователи.

Хотя XAMPP является единственной подтверждённой уязвимой платформой, всем пользователям PHP на любой системе Windows рекомендуется как можно скорее установить обновление. В посте компании Imperva содержатся IP-адреса, имена файлов и их хэши, которые администраторы могут использовать для определения, подверглись ли их системы атакам.
 
Источник новости
www.securitylab.ru

Похожие темы