Windows tabanlı PHP’deki (CVE-2024-4577) CGI modundaki bir işletim sistemi komut ekleme güvenlik açığı, TellYouThePass fidye yazılımı çetesi tarafından istismar ediliyor.
Imperva, saldırıların 8 Haziran’da, PHP geliştirme ekibinin düzeltmeleri yayınlamasından iki gün sonra ve Watchtowr araştırmacılarının kusurun teknik analizini ve kavram kanıtını kullanma kodunu yayınlamasından bir gün sonra başladığını söylüyor.
CVE-2024-4577 Hakkında
Devcore’un baş güvenlik araştırmacısı Orange Tsai tarafından keşfedilen ve rapor edilen CVE-2024-4577, saldırganların belirli karakter dizilerini kullanarak eski bir PHP-CGI güvenlik açığına (CVE-2012-1823) yönelik korumaları atlamasına olanak tanıyor ve saldırganların uzaktan yürütme yapmasına olanak tanıyor Hedeflenen savunmasız sistemlere ilişkin kod.
Güvenlik açığı, oldukça yaygın bir senaryo olan CGI (ortak ağ geçidi arayüzü) modunda çalışırken Windows işletim sisteminde yüklü olan PHP’nin tüm sürümlerini etkiliyor.
Ancak Devcore ekibi, “PHP CGI modunda yapılandırılmamış olsa bile, yalnızca CGI dizinindeki PHP çalıştırılabilir ikili dosyasının açığa çıkarılması da bu güvenlik açığından etkileniyor” dedi.
İkinci senaryonun Windows için XAMPP’nin (açık kaynaklı PHP geliştirme ortamı) varsayılan yapılandırması olduğunu, dolayısıyla Windows’taki XAMPP kurulumlarının tüm sürümlerinin varsayılan olarak saldırıya açık olduğunu eklediler.
Kullanıcıları PHP’lerini 8.3.8, 8.2.20 veya 8.1.29 sürümüne yükseltmeye veya geçici azaltımlar uygulamaya çağırdılar.
Fidye yazılımı saldırısı
7 Haziran’da Shadowserver Vakfı, birden fazla IP’nin internete bakan makinelerde CVE-2024-4577’den yararlanmaya çalıştığı konusunda uyardı.
Pazartesi günü Censys, potansiyel olarak savunmasız yaklaşık 458.800 PHP örneğinin bulunduğunu, ancak gerçekte savunmasız olanların sayısının muhtemelen daha az olduğunu belirtti.
Aynı gün Imperva tehdit araştırmacıları, TellYouThePass fidye yazılımı çetesinin 8 Haziran’dan beri bu güvenlik açığından yararlanmaya çalıştığını paylaştı.
Saldırganlar, hedef sistemde rastgele PHP kodu yürütmek için CVE-2024-3577’nin bilinen açığını kullandı; bu koddan yararlanarak ‘sistem’ işlevini kullanarak saldırgan tarafından kontrol edilen bir web sunucusunda barındırılan bir HTML uygulama dosyasını çalıştırdı. mshta.exe ikili. mshta.exe uzak yükleri çalıştırabilen yerel bir Windows ikili programıdır ve saldırganların ‘karada yaşama’ tarzında faaliyet gösterdiğine işaret etmektedir” diye açıkladılar.
Ekip, web kabukları yüklemeye ve fidye yazılımını çalıştırmaya çalışıyor.