TellYouThePass fidye yazılımı, savunmasız PHP örneklerini geniş çapta hedef alıyor


Dalış Özeti:

  • Cuma günü araştırmacılar, TellYouThePass fidye yazılımı grubunun savunmasız siteleri hedef alması nedeniyle PHP programlama dilindeki kritik bir güvenlik açığının artan istismar faaliyeti altında olduğu konusunda uyardı. Censys’in bir blog gönderisine göre.
  • Olarak listelenen güvenlik açığı CVE-2024-4577, en az 7 Haziran’dan bu yana tehdit grubunun saldırısı altında ve Perşembe günü itibarıyla yaklaşık 1000 enfekte konakçı gözlemlendi; bunların çoğu Çin’de bulunuyor. Gözlemlenen enfeksiyonların sayısı 10 Haziran itibarıyla yaklaşık 1.800’den düştü.
  • Siber Güvenlik ve Altyapı Güvenliği Ajansı CVE-2024-4577 eklendi Çarşamba günü bilinen istismar edilen güvenlik açıkları kataloğuna.

Dalış Bilgisi:

Devcore ilk olarak keşfedildi CVSS puanı 9,8 olan ve bir saldırganın uzaktan kod yürütmesine olanak tanıyan argüman enjeksiyonu güvenlik açığı. Kimliği doğrulanmamış bir saldırgan önceki korumayı atlayabilir. CVE-2012-1823.

Imperva’daki araştırmacılar ilk olarak TellYouThePass fidye yazılımının bu güvenlik açığından yararlanmak için kullanıldığını tespit etti. Bu özel fidye yazılımı en az 2019’dan beri ortalıktaydı ve daha önce Apache Log4j’deki güvenlik açıklarından yararlanıyordu. CVE-2021-44228ve Apache ActiveMQ’daki bir güvenlik açığı, CVE-2023-46604.

Censys’e göre fidye yazılımı şu anda bulduğu tüm savunmasız PHP sunucularını hedefliyor.

Bu durum muhtemelen bireysel kişisel web sitesi sağlayıcılarından kurumsal web sitelerine kadar geniş bir kullanıcı yelpazesini etkiliyor” dedi Censys güvenlik araştırmacısı Himaja Motheram. “Tehdit aktörleri belirli kuruluşları hedeflemek yerine interneti toplu olarak tarıyor gibi görünüyor.”

ABD üzerindeki doğrudan etki şu anda sınırlıdır; ABD’de güvenliği ihlal edilmiş ana bilgisayarların sayısı, Pazartesi günü Çin’de güvenliği ihlal edilmiş ana bilgisayarların sayısı 962 iken Salı günü 39’a yükseldi.

Araştırmacılar Palo Alto Networks onayladı 11 Haziran’dan itibaren aktif sömürü faaliyeti de gördüler.

PHP, aşağıdakiler de dahil olmak üzere yamalı sürümleri yayınladı: 8.3.8, 8.2.20 ve 8.1.29 6 Haziran’da.



Source link