Un bug PHP critico recentemente rilasciato e corretto con ID CVE CVE-2024-4577 viene attivamente sfruttato. La CISA mette in guardia su questo, inserendolo nel suo database delle “Known Exploited Vulnerabilities” (KEV). Gli amministratori di server Windows dotati di PHP dovrebbero applicare le patch il prima possibile.
annuncio
Come al solito, la nota sulla pagina panoramica del database KEV non è molto dettagliata, ma riconosce l’exploit nelle campagne ransomware. Un avvertimento della società di sicurezza Imperva fornisce alcuni dettagli: il ransomware di Windows sembra chiamarsi “TellYouThePass” e viene eseguito utilizzando un exploit PHP e un file HTA. Gli aggressori utilizzano la funzione PHP “system()” insieme allo strumento Windows “mshta”. Se il ransomware si installa correttamente, crittografa i file e memorizza le informazioni di contatto in un file Leggimi.
Lo spoofing della tabella codici provoca l’esecuzione del codice
La vulnerabilità PHP non è nuova, ma semplicemente una versione diversa di un bug vecchio di dodici anni, successivamente elencato come CVE-2012-1823, che gli sviluppatori del linguaggio di scripting non sono mai stati in grado di risolvere completamente. Utilizzando intelligenti trucchi crittografici, gli aggressori possono eseguire il proprio codice su sistemi vulnerabili.
Modelli di sfruttamento e automazione degli attacchi per l’attuale vulnerabilità stanno ora circolando online. Gli amministratori dovrebbero quindi apportare la patch il prima possibile: le versioni PHP 8.1.29, 8.2.20 o 8.3.8 sono considerate corrette. Inoltre, danno Ricercatore di sicurezza presso Devcor Suggerimenti per la valutazione del rischio e la protezione temporanea.
(Kaku)
“Lifelong beer expert. General travel enthusiast. Social media enthusiast. Zombie expert. Communicator.”