Fidye yazılımı sağlamak için PHP komut ekleme hatasından yararlanıldı (CVE-2024-4577)
Windows tabanlı PHP’deki (CVE-2024-4577) CGI modundaki bir işletim sistemi komut ekleme güvenlik açığı, TellYouThePass fidye yazılımı çetesi tarafından istismar ediliyor.
Imperva, saldırıların PHP geliştirme ekibinden iki gün sonra, 8 Haziran’da başladığını söyledi.
CVE-2024-4577 Hakkında
Devcore’un baş güvenlik araştırmacısı Orange Tsai tarafından keşfedilen ve rapor edilen CVE-2024-4577, saldırganların belirli karakter dizilerini kullanarak eski bir PHP-CGI güvenlik açığına (CVE-2012-1823) yönelik korumaları atlamasına olanak tanıyor ve saldırganların uzaktan yürütme yapmasına olanak tanıyor Hedeflenen savunmasız sistemlere ilişkin kod.
Güvenlik açığı, oldukça yaygın bir senaryo olan CGI (ortak ağ geçidi arayüzü) modunda çalışırken Windows işletim sisteminde yüklü olan PHP’nin tüm sürümlerini etkiliyor.
Ancak Devcore ekibi, “PHP CGI modunda yapılandırılmamış olsa bile, yalnızca CGI dizinindeki PHP çalıştırılabilir ikili dosyasının açığa çıkarılması da bu güvenlik açığından etkileniyor” dedi.
İkinci senaryonun Windows için XAMPP’nin (açık kaynaklı PHP geliştirme ortamı) varsayılan yapılandırması olduğunu, dolayısıyla Windows’taki XAMPP kurulumlarının tüm sürümlerinin varsayılan olarak saldırıya açık olduğunu eklediler.
Kullanıcıları PHP’lerini 8.3.8, 8.2.20 veya 8.1.29 sürümüne yükseltmeye çağırdılar…
Fidye yazılımı saldırısı
7 Haziran’da Shadowserver Vakfı uyardı birden fazla IP’nin internete bakan makinelerde CVE-2024-4577’den yararlanmaya çalışması hakkında.
Pazartesi günü Censys söz konusu Potansiyel olarak savunmasız olan yaklaşık 458.800 açıkta kalan PHP örneği var, ancak gerçekte savunmasız olanların sayısının muhtemelen daha az olduğunu belirttiler.
Aynı gün Imperva tehdit araştırmacıları, TellYouThePass fidye yazılımı çetesinin 8 Haziran’dan beri bu güvenlik açığından yararlanmaya çalıştığını paylaştı.
Saldırganlar, hedef sistemde rastgele PHP kodu yürütmek için CVE-2024-3577’nin bilinen açığını kullandı; bu koddan yararlanarak ‘sistem’ işlevini kullanarak saldırgan tarafından kontrol edilen bir web sunucusunda barındırılan bir HTML uygulama dosyasını çalıştırdı. mshta.exe ikilisi mshta.exe uzak yükleri çalıştırabilen yerel bir Windows ikili programıdır ve saldırganların ‘karadan yaşama’ tarzında faaliyet gösterdiğine işaret eder,” dedi.
Ekip, web kabukları yüklemeye ve fidye yazılımını çalıştırmaya çalışıyor.
0 Yorumlar