Kritická zraniteľnosť PHP zneužívaná na šírenie ransomvéru

Vývojári skriptovacieho jazyka PHP vydali bezpečnostné aktualizácie, ktoré opravujú kritickú zraniteľnosť. Chyba súvisí s konverziou kódovania znakov cez funkciu Windows Best-Fit a prostredníctvom injekcie príkazov ju možno zneužiť na vzdialené vykonanie kódu. Zraniteľnosť je v súčasnosti aktívne zneužívaná na šírenie ransomvéru TellYouThePass.

Zraniteľné systémy:

PHP pre Windows, všetky verzie od 5.X

Opis činnosti:

CVE-2024-4577 (CVSS v3.1 skóre 9,8)

Kritická zraniteľnosť jazyka PHP, ktorá umožňuje vzdialené vykonávanie kódu na zraniteľných PHP serveroch injektovaním premenných. Chyba súvisí s konverziou kódovania znakov cez funkciu Best-Fit pre Windows, ktorá môže konvertovať znaky vo funkciách Win32 API. PHP modul CGI môže tento výstup interpretovať ako premenné, resp. príkazy PHP.

Pokiaľ PHP nie je v CGI móde, zraniteľnosť môžu útočníci zneužiť v prípade, že súbory php.exe a php-cgi.exe sa nachádzajú v priečinkoch prístupných pre webový server (prednastavená konfigurácia napríklad pre XAMPP).

Zraniteľnosť objavil Orange Tsai, výskumník spoločnosti Devcore.

Zneužitie zraniteľnosti pri ransomvérových útokoch

Útočníci zraniteľnosť zneužívajú prostredníctvom zaslania špeciálne vytvorenej požiadavky HTTP POST na vykonanie obsahu škodlivého HTA súboru na webovom serveri útočníka prostredníctvom mshta.exe (natívna aplikácia MS Windows). HTA obsahuje kód VBScript slúžiaci na dekódovanie sekvencie bajtov, ktorá je počas behu skriptu nahratá priamo do operačnej pamäte zraniteľných systémov. Analýza spoločnosti IMPERVA ukázala, že sa jedná o .NET variant ransomvéru TellYouThePass. Táto rodina ransomvéru je aktívna už od roku 2019.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Vzdialené vykonávanie kódu

Odporúčania:

Výrobca odporúča používať len verzie PHP, ktoré majú technickú podporu a zasiahnuté systémy bezodkladne aktualizovať na najnovšie verzie: 8.3.8, 8.2.20 alebo 8.1.29.

Ak nie je možná aktualizácia, zraniteľnosť je možné mitigovať nasledujúcim pravidlom mod_rewrite, ako napríklad:

RewriteEngine On

RewriteCond %{QUERY_STRING} ^%ad [NC]

RewriteRule .? – [F,L]

Ak používate platformu XAMPP, mitigovať zraniteľnosť môžete zakomentovaním riadku „ScriptAlias“ v konfiguračnom súbore Apache.

Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame dôkladne preveriť prítomnosť dostupných indikátorov kompromitácie (IOC) v logoch sieťových a bezpečnostných prvkov.

Indikátory kompromitácie (IOC):

SHA256 hashe súborov:

95279881525d4ed4ce25777bb967ab87659e7f72235b76f9530456b48a00bac3 (HTA)
5a2b9ddddea96f21d905036761ab27627bd6db4f5973b006f1e39d4acb04a618 (HTA)
9562AD2C173B107A2BAA7A4986825B52E881A935DEB4356BF8B80B1EC6D41C53 (.NET malvér)

IP adresy:

18.141.81 [.]39

45.130.22 [.]219

59.31.203 [.]57

61.160.194 [.]160

88.218.76[.]13

93.95.228 [.]70

107.175.127[.]195

120.77.82 [.]232

URL:

hxxp:/88.218.76[.]13/dd3.hta
hxxp://107.175.127[.]195/

Odkazy:

https://www.bleepingcomputer.com/news/security/php-fixes-critical-rce-flaw-impacting-all-versions-for-windows/

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en/

https://labs.watchtowr.com/no-way-php-strikes-again-cve-2024-4577/

https://nvd.nist.gov/vuln/detail/CVE-2024-4577

https://www.imperva.com/blog/update-cve-2024-4577-quickly-weaponized-to-distribute-tellyouthepass-ransomware/

https://cert.360.cn/report/detail?id=65fceeb4c09f255b91b17f11

https://www.sangfor.com/farsight-labs-threat-intelligence/cybersecurity/new-tellyouthepass-ransomware-variant-discovered