Ransomware explora falha em PHP
12 de Junho de 2024

A gangue de ransomware TellYouThePass vem explorando a vulnerabilidade de execução de código remoto recentemente corrigida, CVE-2024-4577, em PHP para entregar webshells e executar o payload de criptografia nos sistemas alvo.

Os ataques começaram em 8 de junho, menos de 48 horas após a liberação das atualizações de segurança pelos mantenedores do PHP, e dependeram de código de exploração disponível publicamente.

O ransomware TellYouThePass é conhecido por rápida utilização de exploits públicos para vulnerabilidades de grande impacto.

Em novembro último, eles utilizaram um RCE do Apache ActiveMQ em ataques e, em dezembro de 2021, adotaram o exploit do Log4j para invadir empresas.

Nos ataques mais recentes identificados por pesquisadores da empresa de cibersegurança Imperva, o TellYouThePass explora a vulnerabilidade de gravidade crítica, CVE-2024-4577, para executar código PHP arbitrário, usando o binário do Windows mshta.exe para rodar um arquivo HTA (aplicativo HTML) malicioso.

Esse arquivo contém VBScript com uma string codificada em base64 que, quando decodificada, transforma-se em um binário, carregando uma variante .NET do ransomware na memória do hospedeiro, explicam os pesquisadores da Imperva.

Após a execução, o malware envia uma requisição HTTP para um servidor de comando e controle (C2) disfarçada de solicitação de recurso CSS e criptografa arquivos na máquina infectada.

Em seguida, coloca uma nota de resgate, "READ_ME10.html", com instruções para a vítima sobre como restaurar seus arquivos.

Um usuário que teve o computador que hospedava seu site criptografado descobriu que a campanha de ransomware TellYouThePass tinha impactado vários sites.

CVE-2024-4577 é uma vulnerabilidade crítica de RCE que impacta todas as versões de PHP desde 5.x.

Origina-se de conversões inseguras de codificação de caracteres no Windows quando usado em modo CGI.

A vulnerabilidade foi descoberta em 7 de maio por Orange Tsai da Devcore, que a reportou à equipe do PHP.

Uma correção foi entregue em 6 de junho com o lançamento das versões PHP 8.3.8, 8.2.20 e 8.1.29.

Na sexta-feira, um dia após o patch, a WatchTowr Labs divulgou código de exploração de prova de conceito (PoC) para CVE-2024-4557.

No mesmo dia, a The Shadowserver Foundation observou tentativas de exploração em seus honeypots.

De acordo com um relatório da Censys de ontem, há mais de 450.000 servidores PHP expostos que podem ser vulneráveis à vulnerabilidade RCE CVE-2024-4577, a maioria deles localizados nos Estados Unidos e na Alemanha.

A startup de segurança de nuvem Wiz deu uma estimativa mais específica de quantas dessas instâncias podem ser vulneráveis, colocando o número em cerca de 34%.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...