CVE-2024-4577 в PHP: вымогательское ПО TellYouThePass захватывает серверы по всему миру

CVE-2024-4577 в PHP: вымогательское ПО TellYouThePass захватывает серверы по всему миру

Многие заражённые серверы перестают отвечать на запросы, что затрудняет обнаружение заражений.

image

В сети обнаружена новая угроза безопасности, связанная с уязвимостью в языке программирования PHP, которая позволяет злоумышленникам выполнять вредоносный код на веб-серверах. Исследователи в области кибербезопасности сообщают о стремительном распространении этой уязвимости и её использовании для установки вымогательского ПО TellYouThePass.

По данным компании Censys, к 13 июня было обнаружено около 1000 серверов, зараженных шифровальщиком TellYouThePass, что свидетельствует о некотором сокращении по сравнению с примерно 1800 инфицированными серверами, зафиксированными 10 июня. Большинство из них расположены в Китае. Вместо привычного содержимого сайты отображают список файлов, расширения которых дополнены символами «.locked», что указывает на шифрование. Сопутствующая записка с требованием выкупа предлагает вернуть доступ к файлам за примерно 6500 долларов США.

Уязвимость, зарегистрированная как CVE-2024-4577 и имеющая рейтинг опасности 9,8 из 10, возникает из-за ошибок в преобразовании символов Unicode в ASCII в PHP. Встроенная функция Windows под названием Best Fit позволяет злоумышленникам использовать технику инъекции аргументов для передачи вредоносных команд основному приложению PHP. Эта уязвимость позволяет обходить CVE-2012-1823, критическую уязвимость, устранённую в PHP в 2012 году.

CVE-2024-4577 затрагивает PHP только в режиме CGI, когда веб-сервер обрабатывает HTTP-запросы и передаёт их PHP-скрипту. Однако уязвимость может быть эксплуатирована и в том случае, если исполняемые файлы PHP, такие как php.exe и php-cgi.exe, находятся в директориях, доступных веб-серверу. Такая конфигурация встречается крайне редко, за исключением платформы XAMPP, в которой она используется по умолчанию. Ещё одним условием является настройка локали Windows на китайский или японский язык.

Критическая уязвимость была опубликована 6 июня вместе с патчем безопасности. В течение 24 часов злоумышленники начали её использовать для установки TellYouThePass. Исследователи компании Imperva сообщили , что вредоносный код использует бинарный файл mshta.exe для выполнения HTML-приложения, размещённого на сервере злоумышленников. Использование этого бинарного файла указывает на подход, известный как «living off the land», когда злоумышленники применяют встроенные функции и инструменты ОС для маскировки своих действий под легитимную деятельность.

Исследователи Censys отмечают , что кампания по распространению TellYouThePass началась 7 июня и напоминает другие атаки, в которых злоумышленники массово сканируют интернет в поисках уязвимых систем после обнаружения серьезной бреши. Большинство зараженных серверов находятся в Китае, Тайване, Гонконге и Японии, что, вероятно, связано с тем, что уязвимость подтверждена только для систем, настроенных на китайский или японский языки.

С тех пор количество заражённых сайтов колебалось от 670 на 8 июня до 1800 на 10 июня. Исследователи Censys отмечают, что они не до конца уверены в причинах изменения этих цифр.

«С нашей точки зрения, многие скомпрометированные хосты остаются онлайн, но порт, на котором работает PHP-CGI или XAMPP, перестаёт отвечать, что и объясняет снижение количества обнаруженных заражений,» - написали они. «Также стоит учитывать, что в настоящее время не зарегистрировано никаких выплат вымогателям на единственный биткойн-адрес , указанный в записках о выкупе. Основываясь на этих фактах, наша интуиция подсказывает, что это, вероятно, результат вывода из эксплуатации этих сервисов или их отключения по другим причинам».

Исследователи также отметили, что примерно на половине взломанных систем, судя по всему, использовался XAMPP. Однако эта цифра может быть занижена, поскольку не все службы явно указывают используемое программное обеспечение.

«Учитывая, что XAMPP уязвим по умолчанию, можно предположить, что большинство зараженных систем используют именно его», - говорят исследователи.

Хотя XAMPP является единственной подтверждённой уязвимой платформой, всем пользователям PHP на любой системе Windows рекомендуется как можно скорее установить обновление. В посте компании Imperva содержатся IP-адреса, имена файлов и их хэши, которые администраторы могут использовать для определения, подверглись ли их системы атакам.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!