CVE-2024-4577 Vulnerabilidad PHP explotada por TellYouThePass Ransomware Group
Una vulnerabilidad identificada recientemente en PHP, designada como CVE-2024-4577, se ha convertido en el objetivo de explotación por parte de un grupo de ransomware poco después de su divulgación. La empresa de ciberseguridad Imperva destaca la tendencia de explotación y revela que la vulnerabilidad afecta a los servidores Windows que utilizan configuraciones Apache y PHP-CGI.
Esencialmente, la falla permite a los atacantes inyectar argumentos y ejecutar código arbitrario cuando ciertas páginas de códigos están habilitadas, debido a la supervisión de PHP del comportamiento de "mejor ajuste" de Windows. Esta laguna permite que secuencias de caracteres específicas se malinterpreten como opciones de PHP, lo que podría conducir a la ejecución de código no autorizado.
El impacto de CVE-2024-4577 se extiende a varias versiones de PHP en sistemas Windows, incluidas versiones anteriores como 8.0, 7 y 5, lo que provocó una acción rápida por parte de PHP con el lanzamiento de las versiones parcheadas 8.1.29, 8.2.20 y 8.3. 8. Sin embargo, a los pocos días de la divulgación de PHP y el lanzamiento del parche, el grupo de ransomware TellYouThePass comenzó a explotar servidores vulnerables, como observó Imperva. Los ataques fueron multifacéticos e implicaron intentos de cargar WebShells e implementar ransomware en sistemas específicos.
En estos ataques, los actores de amenazas ejecutaron código PHP arbitrario en máquinas comprometidas, aprovechando la función "sistema" para iniciar la ejecución de archivos de aplicaciones HTML desde servidores remotos. El ransomware implementado por el grupo TellYouThePass es un ejecutable .NET, cargado directamente en la memoria tras la ejecución. Al establecer comunicación con su servidor de comando y control, el malware procede a enumerar directorios, detener procesos en ejecución, generar claves de cifrado y cifrar archivos con extensiones específicas.
El grupo de ransomware TellYouThePass, activo desde 2019, tiene un historial de atacar tanto a empresas como a individuos. Los exploits anteriores incluyen el aprovechamiento de vulnerabilidades en Apache Log4j (CVE-2021-44228) y ActiveMQ (CVE-2023-46604) para perpetrar ataques. Con la explotación de CVE-2024-4577, añaden otra herramienta a su arsenal, lo que subraya los desafíos actuales que plantean las vulnerabilidades en los sistemas de software ampliamente utilizados.