Kritická zraniteľnosť PHP zneužívaná na šírenie ransomvéru
Vývojári skriptovacieho jazyka PHP vydali bezpečnostné aktualizácie, ktoré opravujú kritickú zraniteľnosť. Chyba súvisí s konverziou kódovania znakov cez funkciu Windows Best-Fit a prostredníctvom injekcie príkazov ju možno zneužiť na vzdialené vykonanie kódu. Zraniteľnosť je v súčasnosti aktívne zneužívaná na šírenie ransomvéru TellYouThePass.
Zraniteľné systémy:
PHP pre Windows, všetky verzie od 5.X
Opis činnosti:
CVE-2024-4577 (CVSS v3.1 skóre 9,8)
Kritická zraniteľnosť jazyka PHP, ktorá umožňuje vzdialené vykonávanie kódu na zraniteľných PHP serveroch injektovaním premenných. Chyba súvisí s konverziou kódovania znakov cez funkciu Best-Fit pre Windows, ktorá môže konvertovať znaky vo funkciách Win32 API. PHP modul CGI môže tento výstup interpretovať ako premenné, resp. príkazy PHP.
Pokiaľ PHP nie je v CGI móde, zraniteľnosť môžu útočníci zneužiť v prípade, že súbory php.exe a php-cgi.exe sa nachádzajú v priečinkoch prístupných pre webový server (prednastavená konfigurácia napríklad pre XAMPP).
Zraniteľnosť objavil Orange Tsai, výskumník spoločnosti Devcore.
Zneužitie zraniteľnosti pri ransomvérových útokoch
Útočníci zraniteľnosť zneužívajú prostredníctvom zaslania špeciálne vytvorenej požiadavky HTTP POST na vykonanie obsahu škodlivého HTA súboru na webovom serveri útočníka prostredníctvom mshta.exe (natívna aplikácia MS Windows). HTA obsahuje kód VBScript slúžiaci na dekódovanie sekvencie bajtov, ktorá je počas behu skriptu nahratá priamo do operačnej pamäte zraniteľných systémov. Analýza spoločnosti IMPERVA ukázala, že sa jedná o .NET variant ransomvéru TellYouThePass. Táto rodina ransomvéru je aktívna už od roku 2019.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Vzdialené vykonávanie kódu
Odporúčania:
Výrobca odporúča používať len verzie PHP, ktoré majú technickú podporu a zasiahnuté systémy bezodkladne aktualizovať na najnovšie verzie: 8.3.8, 8.2.20 alebo 8.1.29.
Ak nie je možná aktualizácia, zraniteľnosť je možné mitigovať nasledujúcim pravidlom mod_rewrite, ako napríklad:
RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? – [F,L]
Ak používate platformu XAMPP, mitigovať zraniteľnosť môžete zakomentovaním riadku „ScriptAlias“ v konfiguračnom súbore Apache.
Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame dôkladne preveriť prítomnosť dostupných indikátorov kompromitácie (IOC) v logoch sieťových a bezpečnostných prvkov.
Indikátory kompromitácie (IOC):
SHA256 hashe súborov:
95279881525d4ed4ce25777bb967ab87659e7f72235b76f9530456b48a00bac3 (HTA)
5a2b9ddddea96f21d905036761ab27627bd6db4f5973b006f1e39d4acb04a618 (HTA)
9562AD2C173B107A2BAA7A4986825B52E881A935DEB4356BF8B80B1EC6D41C53 (.NET malvér)
IP adresy:
18.141.81 [.]39
45.130.22 [.]219
59.31.203 [.]57
61.160.194 [.]160
88.218.76[.]13
93.95.228 [.]70
107.175.127[.]195
120.77.82 [.]232
URL:
hxxp:/88.218.76[.]13/dd3.hta
hxxp://107.175.127[.]195/
Odkazy:
https://labs.watchtowr.com/no-way-php-strikes-again-cve-2024-4577/
https://nvd.nist.gov/vuln/detail/CVE-2024-4577
https://cert.360.cn/report/detail?id=65fceeb4c09f255b91b17f11