CVE-2024-4577 PHP-Sicherheitslücke wird von der TellYouThePass-Ransomware-Gruppe ausgenutzt

Eine kürzlich entdeckte Schwachstelle in PHP mit der Bezeichnung CVE-2024-4577 wurde kurz nach ihrer Bekanntgabe zum Ziel einer Ransomware- Gruppe. Das Cybersicherheitsunternehmen Imperva hebt den Trend zur Ausnutzung hervor und enthüllt, dass die Schwachstelle Windows-Server betrifft, die Apache- und PHP-CGI-Konfigurationen verwenden.

Im Wesentlichen ermöglicht der Fehler Angreifern, Argumente einzuschleusen und beliebigen Code auszuführen, wenn bestimmte Codeseiten aktiviert sind, da PHP das „Best-Fit“-Verhalten von Windows überwacht. Durch diese Lücke können bestimmte Zeichenfolgen als PHP-Optionen fehlinterpretiert werden, was möglicherweise zur Ausführung von nicht autorisiertem Code führt.

Die Auswirkungen von CVE-2024-4577 erstrecken sich auf verschiedene PHP-Versionen auf Windows-Systemen, einschließlich älterer Versionen wie 8.0, 7 und 5, was PHP zu raschen Maßnahmen mit der Veröffentlichung der gepatchten Versionen 8.1.29, 8.2.20 und 8.3.8 veranlasste. Wie Imperva beobachtete, begann die TellYouThePass-Ransomware- Gruppe jedoch innerhalb weniger Tage nach der Offenlegung und Veröffentlichung des Patches von PHP, anfällige Server auszunutzen. Die Angriffe waren vielschichtig und beinhalteten Versuche, WebShells hochzuladen und Ransomware auf Zielsystemen zu installieren.

Bei diesen Angriffen führten die Angreifer beliebigen PHP-Code auf den infizierten Rechnern aus und nutzten die Funktion „System“, um die Ausführung von HTML-Anwendungsdateien von Remote-Servern aus zu initiieren. Die von der TellYouThePass-Gruppe eingesetzte Ransomware ist eine ausführbare .NET-Datei, die bei der Ausführung direkt in den Speicher geladen wird. Nach der Herstellung der Kommunikation mit dem Command-and-Control-Server listet die Malware Verzeichnisse auf, stoppt laufende Prozesse, generiert Verschlüsselungsschlüssel und verschlüsselt Dateien mit bestimmten Erweiterungen.

Die seit 2019 aktive TellYouThePass-Ransomware-Gruppe hat es in der Vergangenheit sowohl auf Unternehmen als auch auf Privatpersonen abgesehen. Zu ihren früheren Angriffen zählte die Ausnutzung von Schwachstellen in Apache Log4j (CVE-2021-44228) und ActiveMQ (CVE-2023-46604), um Angriffe durchzuführen. Mit der Ausnutzung von CVE-2024-4577 fügen sie ihrem Arsenal ein weiteres Tool hinzu und unterstreichen damit die anhaltenden Herausforderungen, die Schwachstellen in weit verbreiteten Softwaresystemen mit sich bringen.