Útočníci využívají kritickou zranitelnost PHP

17. 6. 2024 | Francesco | Novinky

Zdroj: Shuttestock

Bezpečnostní výzkumníci odhalili, že zločinci využívající ransomware rychle zneužili zranitelnost v programovacím jazyce PHP, která umožňuje spuštění škodlivého kódu na webových serverech. Tato zranitelnost, označená jako CVE-2024-4577, má hodnocení závažnosti 9,8 z 10 a vychází z chyby při převodu znaků Unicode na ASCII v PHP.

Podle bezpečnostní firmy Censys bylo do čtvrtka identifikováno 1 000 serverů infikovaných ransomwarem TellYouThePass, což je pokles z 1 800 detekovaných na začátku týdne. Servery, převážně umístěné v Číně, již nezobrazují svůj obvyklý obsah, místo toho ukazují adresáře se soubory označenými příponou .locked, což indikuje jejich zašifrování. Útočníci požadují výkupné ve výši přibližně 6 500 dolarů za dešifrovací klíč.

Technické detaily

Zranitelnost CVE-2024-4577 je exploatovatelná především na serverech, které používají PHP v CGI režimu, kdy webový server předává HTTP požadavky PHP skriptu ke zpracování. I když není CGI režim povolen, zranitelnost může být stále zneužitelná, pokud jsou PHP spustitelné soubory přístupné webovému serveru, což je běžné například u platformy XAMPP. Dalším požadavkem je, aby bylo národní prostředí Windows nastaveno na čínštinu nebo japonštinu.

Zdroj: Shutterstock

Exploatace a reakce

Zranitelnost byla veřejně oznámena 6. června spolu s opravou. Již následující den začali útočníci instalovat ransomware TellYouThePass, uvedla bezpečnostní firma Imperva. Útočníci využili binární soubor mshta.exe k spuštění škodlivého HTML souboru z útočníky kontrolovaného serveru, což ukazuje na techniku známou jako „living off the land“, kde útočníci používají běžné systémové nástroje k maskování své aktivity.

Geografické aspekty

Podle Censys začali útočníci využívat zranitelnost 7. června a cíleně napadali servery zejména v Číně, Tchaj-wanu, Hongkongu a Japonsku. Od té doby počet infikovaných serverů kolísal, což může být způsobeno různými faktory, včetně změn v dostupnosti PHP-CGI nebo XAMPP služeb.

Doporučení a bezpečnostní opatření

Výzkumníci doporučují všem uživatelům PHP, zejména těm, kteří používají XAMPP, aby neprodleně aktualizovali své systémy. Výzkumníci z Imperva poskytli seznam IP adres, názvy souborů a hash souborů, které mohou správci použít k identifikaci případné infekce.

Je důležité si uvědomit, že i když XAMPP je zranitelný ve výchozím nastavení, provozování takového softwaru ve výrobním prostředí nese vysoká rizika. Správci by měli zvážit použití bezpečnějších alternativ a pravidelně aktualizovat své systémy, aby se vyhnuli podobným útokům v budoucnu.

Tagy: