CISA avverte: bug PHP critico sfruttato dal ransomware

Date:

Share post:

Giampaolo Lettiere
Giampaolo Lettiere
"Esperto di birra per tutta la vita. Appassionato di viaggi in generale. Appassionato di social media. Esperto di zombi. Comunicatore."

Un bug PHP critico recentemente rilasciato e corretto con ID CVE CVE-2024-4577 viene attivamente sfruttato. La CISA mette in guardia su questo, inserendolo nel suo database delle “Known Exploited Vulnerabilities” (KEV). Gli amministratori di server Windows dotati di PHP dovrebbero applicare le patch il prima possibile.

annuncio


Come al solito, la nota sulla pagina panoramica del database KEV non è molto dettagliata, ma riconosce l’exploit nelle campagne ransomware. Un avvertimento della società di sicurezza Imperva fornisce alcuni dettagli: il ransomware di Windows sembra chiamarsi “TellYouThePass” e viene eseguito utilizzando un exploit PHP e un file HTA. Gli aggressori utilizzano la funzione PHP “system()” insieme allo strumento Windows “mshta”. Se il ransomware si installa correttamente, crittografa i file e memorizza le informazioni di contatto in un file Leggimi.

La vulnerabilità PHP non è nuova, ma semplicemente una versione diversa di un bug vecchio di dodici anni, successivamente elencato come CVE-2012-1823, che gli sviluppatori del linguaggio di scripting non sono mai stati in grado di risolvere completamente. Utilizzando intelligenti trucchi crittografici, gli aggressori possono eseguire il proprio codice su sistemi vulnerabili.

Modelli di sfruttamento e automazione degli attacchi per l’attuale vulnerabilità stanno ora circolando online. Gli amministratori dovrebbero quindi apportare la patch il prima possibile: le versioni PHP 8.1.29, 8.2.20 o 8.3.8 sono considerate corrette. Inoltre, danno Ricercatore di sicurezza presso Devcor Suggerimenti per la valutazione del rischio e la protezione temporanea.


(Kaku)

Alla home page

Related articles