O mundo da segurança cibernética está em alerta máximo após a descoberta de uma vulnerabilidade crítica ( CVE-2024-4577 ) em PHP, uma linguagem de script amplamente utilizada para desenvolvimento web. Esta vulnerabilidade está sendo explorada ativamente por agentes mal-intencionados em uma campanha generalizada de ransomware conhecida como “TellYouThePass”.
A vulnerabilidade, identificada pela primeira vez pelo pesquisador principal de segurança da Devcore, Orange Tsai, em 7 de maio de 2024, decorre de um descuido nas conversões de codificação de caracteres em sistemas Windows. Explorar essa falha permite que invasores contornem medidas de segurança anteriores e executem código arbitrário em servidores PHP vulneráveis.
Esta vulnerabilidade afeta todas as versões do PHP para Windows, incluindo versões em fim de vida não suportadas. Pesquisa de ameaças da Impervarelatou ter observado esta vulnerabilidade sendo usada já em 8 de junho para entregar o ransomware TellYouThePass.
TellYouThePass tem sido uma ameaça persistente desde 2019, visando empresas e indivíduos. Este ransomware evoluiu ao longo do tempo, aproveitando várias vulnerabilidades, como Apache Log4j (CVE-2021-44228) e outras para infectar sistemas.
Em ataques recentes, o ransomware foi entregue através de uma complexa cadeia de eventos. Os invasores aproveitam o CVE-2024-3577 para executar código PHP arbitrário, que então executa um arquivo de aplicativo HTML hospedado em um servidor controlado pelo invasor. Em última análise, este arquivo fornece uma variante .NET do ransomware TellYouThePass.
Os invasores usam a exploração CVE-2024-4577 para executar código PHP arbitrário nos sistemas de destino. Este código usa a função “sistema” para executar um arquivo de aplicativo HTML hospedado em um servidor web controlado por um invasor por meio do binário mshta.exe. Mshta.exe, um binário nativo do Windows, permite a execução de cargas remotas, destacando a estratégia de “viver da terra” dos invasores.
A ação imediata é crucial para organizações e indivíduos que usam PHP. Aqueles que usam versões PHP suportadas devem atualizar para as versões corrigidas mais recentes: PHP 8.3.8, PHP 8.2.20 ou PHP 8.1.29.
Para sistemas que não podem ser atualizados imediatamente ou aqueles que usam versões em fim de vida, uma mitigação temporária envolve a aplicação de uma regra mod_rewrite para bloquear ataques.
RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? – [F,L]