CVE-2024-4577 PHP の脆弱性が TellYouThePass ランサムウェア グループによって悪用される

最近特定された PHP の脆弱性(CVE-2024-4577 と指定) は、公開後すぐにランサムウェアグループによる悪用の標的となりました。サイバー セキュリティ企業 Imperva は、この悪用の傾向を強調し、この脆弱性が Apache および PHP-CGI 構成を利用する Windows サーバーに影響を与えることを明らかにしました。

本質的に、この欠陥により、PHP が Windows の「ベスト フィット」動作を見落としているため、特定のコード ページが有効になっているときに、攻撃者が引数を挿入して任意のコードを実行できるようになります。この抜け穴により、特定の文字シーケンスが PHP オプションとして誤って解釈され、許可されていないコードの実行につながる可能性があります。

CVE-2024-4577 の影響は、8.0、7、5 などの古いバージョンを含む Windows システム上のさまざまな PHP バージョンに及ぶため、PHP はパッチ バージョン 8.1.29、8.2.20、8.3.8 をリリースして迅速に対応しました。しかし、Imperva の観察によると、PHP の公開とパッチ リリースから数日以内に、 TellYouThePass ランサムウェアグループが脆弱なサーバーを悪用し始めました。攻撃は多面的で、WebShell をアップロードして標的のシステムにランサムウェアを展開する試みが含まれていました。

これらの攻撃では、脅威アクターは侵害されたマシン上で任意の PHP コードを実行し、「システム」機能を利用してリモート サーバーから HTML アプリケーション ファイルの実行を開始しました。TellYouThePass グループによって展開されたランサムウェアは .NET 実行可能ファイルであり、実行時にメモリに直接ロードされます。コマンド アンド コントロール サーバーとの通信を確立すると、マルウェアはディレクトリを列挙し、実行中のプロセスを停止し、暗号化キーを生成し、特定の拡張子を持つファイルを暗号化します。

2019 年から活動している TellYouThePass ランサムウェア グループは、企業と個人の両方を標的にしてきた歴史があります。これまでのエクスプロイトには、Apache Log4j (CVE-2021-44228) と ActiveMQ (CVE-2023-46604) の脆弱性を悪用した攻撃の実行が含まれています。CVE-2024-4577 のエクスプロイトにより、彼らは武器庫に新たなツールを追加し、広く使用されているソフトウェア システムの脆弱性によってもたらされる継続的な課題を浮き彫りにしています。