Útočníci využívají kritickou zranitelnost PHP
Zdroj: Shuttestock
Bezpečnostní výzkumníci odhalili, že zločinci využívající ransomware rychle zneužili zranitelnost v programovacím jazyce PHP, která umožňuje spuštění škodlivého kódu na webových serverech. Tato zranitelnost, označená jako CVE-2024-4577, má hodnocení závažnosti 9,8 z 10 a vychází z chyby při převodu znaků Unicode na ASCII v PHP.
Podle bezpečnostní firmy Censys bylo do čtvrtka identifikováno 1 000 serverů infikovaných ransomwarem TellYouThePass, což je pokles z 1 800 detekovaných na začátku týdne. Servery, převážně umístěné v Číně, již nezobrazují svůj obvyklý obsah, místo toho ukazují adresáře se soubory označenými příponou .locked, což indikuje jejich zašifrování. Útočníci požadují výkupné ve výši přibližně 6 500 dolarů za dešifrovací klíč.
Technické detaily
Zranitelnost CVE-2024-4577 je exploatovatelná především na serverech, které používají PHP v CGI režimu, kdy webový server předává HTTP požadavky PHP skriptu ke zpracování. I když není CGI režim povolen, zranitelnost může být stále zneužitelná, pokud jsou PHP spustitelné soubory přístupné webovému serveru, což je běžné například u platformy XAMPP. Dalším požadavkem je, aby bylo národní prostředí Windows nastaveno na čínštinu nebo japonštinu.
Zdroj: Shutterstock
Exploatace a reakce
Zranitelnost byla veřejně oznámena 6. června spolu s opravou. Již následující den začali útočníci instalovat ransomware TellYouThePass, uvedla bezpečnostní firma Imperva. Útočníci využili binární soubor mshta.exe k spuštění škodlivého HTML souboru z útočníky kontrolovaného serveru, což ukazuje na techniku známou jako „living off the land“, kde útočníci používají běžné systémové nástroje k maskování své aktivity.
Geografické aspekty
Podle Censys začali útočníci využívat zranitelnost 7. června a cíleně napadali servery zejména v Číně, Tchaj-wanu, Hongkongu a Japonsku. Od té doby počet infikovaných serverů kolísal, což může být způsobeno různými faktory, včetně změn v dostupnosti PHP-CGI nebo XAMPP služeb.
Doporučení a bezpečnostní opatření
Výzkumníci doporučují všem uživatelům PHP, zejména těm, kteří používají XAMPP, aby neprodleně aktualizovali své systémy. Výzkumníci z Imperva poskytli seznam IP adres, názvy souborů a hash souborů, které mohou správci použít k identifikaci případné infekce.
Je důležité si uvědomit, že i když XAMPP je zranitelný ve výchozím nastavení, provozování takového softwaru ve výrobním prostředí nese vysoká rizika. Správci by měli zvážit použití bezpečnějších alternativ a pravidelně aktualizovat své systémy, aby se vyhnuli podobným útokům v budoucnu.
Zdroje:
Lukáš "Francesco" Čihák
Diskuse ke článku Útočníci využívají kritickou zranitelnost PHP
