CVE-2024-4577 Vulnérabilité PHP exploitée par TellYouThePass Ransomware Group
Une vulnérabilité récemment identifiée dans PHP, désignée CVE-2024-4577, est devenue la cible d'une exploitation par un groupe de ransomwares peu de temps après sa divulgation. La société de cybersécurité Imperva met en évidence la tendance à l'exploitation, révélant que la vulnérabilité affecte les serveurs Windows utilisant les configurations Apache et PHP-CGI.
Essentiellement, la faille permet aux attaquants d'injecter des arguments et d'exécuter du code arbitraire lorsque certaines pages de codes sont activées, en raison de la surveillance par PHP du comportement « optimal » de Windows. Cette faille permet à des séquences de caractères spécifiques d'être interprétées à tort comme des options PHP, conduisant potentiellement à l'exécution de code non autorisé.
L'impact de CVE-2024-4577 s'étend sur diverses versions de PHP sur les systèmes Windows, y compris les anciennes versions comme 8.0, 7 et 5, incitant PHP à agir rapidement avec la sortie des versions corrigées 8.1.29, 8.2.20 et 8.3. 8. Cependant, quelques jours après la divulgation de PHP et la publication du correctif, le groupe de ransomware TellYouThePass a commencé à exploiter les serveurs vulnérables, comme l'a observé Imperva. Les attaques étaient multiformes, impliquant des tentatives de téléchargement de WebShells et de déploiement de ransomwares sur les systèmes ciblés.
Dans ces attaques, les acteurs malveillants ont exécuté du code PHP arbitraire sur des machines compromises, en exploitant la fonction « système » pour lancer l'exécution de fichiers d'application HTML à partir de serveurs distants. Le ransomware déployé par le groupe TellYouThePass est un exécutable .NET, chargé directement en mémoire lors de son exécution. Après avoir établi la communication avec son serveur de commande et de contrôle, le logiciel malveillant procède à l'énumération des répertoires, à l'arrêt des processus en cours, à la génération de clés de chiffrement et au chiffrement des fichiers avec des extensions spécifiques.
Le groupe de ransomware TellYouThePass, actif depuis 2019, cible depuis toujours les entreprises et les particuliers. Les exploits précédents incluent l'exploitation des vulnérabilités d'Apache Log4j (CVE-2021-44228) et d'ActiveMQ (CVE-2023-46604) pour perpétrer des attaques. Avec l’exploitation du CVE-2024-4577, ils ajoutent un autre outil à leur arsenal, soulignant les défis permanents posés par les vulnérabilités des systèmes logiciels largement utilisés.