„TellYouThePass“ išpirkos reikalaujanti programa išnaudoja naujausią PHP RCE trūkumą, kad pažeistų serverius


„TellYouThePass“ išpirkos reikalaujanti programa išnaudoja naujausią PHP RCE trūkumą, kad pažeistų serverius

„TellYouThePass“ išpirkos reikalaujančių programų gauja išnaudojo neseniai pataisytą PHP CVE-2024-4577 nuotolinio kodo vykdymo pažeidžiamumą, kad pateiktų žiniatinklio apvalkalus ir vykdytų šifravimo apkrovą tikslinėse sistemose.

Atakos prasidėjo birželio 8 d., praėjus mažiau nei 48 valandoms po to, kai PHP prižiūrėtojai išleido saugos naujinimus, ir buvo vykdomi viešai prieinamu išnaudojimo kodu.

„TellYouThePass“ išpirkos reikalaujanti programinė įranga yra žinoma dėl to, kad greitai imasi viešų išnaudojimų pažeidžiamumui, turinčiam didelį poveikį. Praėjusį lapkritį jie naudojo „Apache ActiveMQ RCE“ atakoms, o 2021 m. gruodį priėmė „Log4j“ išnaudojimą, kad galėtų pažeisti įmones.

Naujausiose kibernetinio saugumo įmonės „Imperva“ tyrėjų pastebėtose atakose „TellYouThePass“ išnaudoja kritinio sunkumo klaidą CVE-2024-4577, kad paleistų savavališką PHP kodą, naudodama „Windows mshta.exe“ dvejetainį failą, kad paleistų kenkėjiškos HTML programos (HTA) failą.

Kenkėjiškas HTA failas
Kenkėjiškas HTA failas
Šaltinis: Imperva

Šiame faile yra VBScript su base64 koduota eilute, kuri dekoduojama į dvejetainį failą, įkeliant išpirkos reikalaujančios programinės įrangos .NET variantą į pagrindinio kompiuterio atmintį, aiškina „Imperva“ tyrėjai.

VBScript įveda naudingąją apkrovą į atmintį
VBScript įveda naudingąją apkrovą į atmintį
Šaltinis: Imperva

Vykdydama kenkėjiška programa siunčia HTTP užklausą į komandų ir valdymo (C2) serverį, užmaskuotą kaip CSS išteklių užklausą, ir užšifruoja failus užkrėstame įrenginyje.

Tada jis įdeda išpirkos raštelį „READ_ME10.html“ su instrukcijomis aukai, kaip atkurti failus.

Vartotojų įrašai „BleepingComputer“ forume rodo, kad „TellYouThePass“ atakos pareikalavo aukų nuo birželio 8 d., o išpirkos raštelyje buvo reikalaujama 0,1 BTC (apie 6700 USD) už iššifravimo raktą.

Vienas naudotojas, kurio kompiuteris buvo užšifruotas, nustatė, kad „TellYouThePass“ išpirkos reikalaujančių programų kampanija paveikė kelias svetaines.

Klaida išnaudota netrukus po pataisymo

CVE-2024-4577 yra kritinis RCE pažeidžiamumas, turintis įtakos visoms PHP versijoms nuo 5.x. Tai kyla dėl nesaugių simbolių kodavimo konversijų sistemoje Windows, kai jos naudojamos CGI režimu.

Pažeidžiamumą gegužės 7 d. aptiko Devcore Orange Tsai, kuris apie tai pranešė PHP komandai. Pataisymas buvo pristatytas birželio 6 d., kai buvo išleistos 8.3.8, 8.2.20 ir 8.1.29 PHP versijos.

Penktadienį, kitą dieną po pataisos, „WatchTowr Labs“ išleido koncepcijos įrodymo (PoC) išnaudojimo kodą, skirtą CVE-2024-4557. Tą pačią dieną „The Shadowserver Foundation“ stebėjo bandymus išnaudoti jų medaus puodus.

tviteryje

Remiantis vakar Censys pranešimu, yra daugiau nei 450 000 atvirų PHP serverių, kurie gali būti pažeidžiami dėl CVE-2024-4577 RCE pažeidžiamumo, dauguma jų yra Jungtinėse Valstijose ir Vokietijoje.

„Wiz“ debesies saugos paleidimas pateikė konkretesnį įvertinimą, kiek tų atvejų gali būti pažeidžiami, todėl jų skaičius siekia maždaug 34%.



Source link

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Fotofilmų kūrimas - Miesto naujienos - Šeimos gydytojai - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Nuotekų valymo įrenginiai - Teniso treniruotės - Pranešimai spaudai -