PHP Vulnerability (CVE-2024-4577) Actively Exploited in TellYouThePass Ransomware Attacks
2024/06/10 SecurityOnline — Web 開発で多用されるスクリプト言語 PHP に、深刻な脆弱性 CVE-2024-4577 が発見され、サイバーセキュリティ界は厳戒態勢を敷いている。現時点において、TellYouThePass と呼ばれるランサムウェアの大規模キャンペーンで、この脆弱性が脅威アクターにより積極的に悪用されている。
この脆弱性は、2024年5月7日に Devcore の Principal Security Researcher の Orange Tsai により特定されたものであり、Windows システムにおける文字エンコーディング変換の見落としに起因するものだ。
この脆弱性の悪用に成功した攻撃者は、これまでのセキュリティ対策をしながら、 脆弱な PHP サーバ上で任意のコード実行を可能にする。
この脆弱性は、サポートが切れている End-of-Life を含む、すべてのバージョンの PHP for Windows に影響を及ぼす。そして、6月8日の時点で Imperva Threat Research は、TellYouThePass ランサムウェアの配信に、この脆弱性が悪用されていることを報告した。
2019年以降において TellYouThePass は、企業や個人を標的とする持続的な脅威となっている。このランサムウェアは、Apache Log4j (CVE-2021-44228) などの、さまざまな脆弱性を悪用してシステムを感染させながら、時間をかけて進化してきた。
最近の攻撃は、このランサムウェアは、複雑な連鎖を通じて配信されている。攻撃者は CVE-2024-4577 を悪用して任意の PHP コードを実行し、攻撃者が管理するサーバ上でホストされている、HTML アプリケーションのファイルを実行する。そして、最終的には、このファイルが TellYouThePass ランサムウェアの、.NET 亜種を配信することになる。
攻撃者は、脆弱性 CVE-2024-4577 を悪用して、標的のシステム上で任意の PHP コードを実行する。このコードは “system” 関数を使用し、攻撃者が制御する Web サーバ上でホストされている HTML アプリケーション・ファイルを、”mshta.exe” バイナリを介して実行する。Windows ネイティブのバイナリである “mshta.exe” は、リモート・ペイロードの実行を可能するため、攻撃者の戦略である LOLBin が浮き上がってくる。
PHP を使用している組織や個人は、早急に対策を講じる必要がある。また、サポート切れのバージョンの PHP を使用している場合には、最新のパッチが適用されたバージョン PHP 8.3.8/PHP 8.2.20/PHP 8.1.29 へとにアップグレードしてほしい。
すぐにアップグレードできないシステムや、End-of-Life バージョンを使用している場合には、 mod_rewrite ルールを適用して攻撃をブロックすることで、一時的な緩和が可能になる。
RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? – [F,L]
PHP の脆弱性 CVE-2024-4577 ですが、以下のような経緯で、PoC が公開された後に、TellYouThePass ランサムウェアの標的にされ、積極的に悪用される状況に陥っています。ご利用のチームは、くれぐれも、ご注意ください。よろしければ、PHP で検索も、ご利用ください。
2024/06/07:PHP の CVE-2024-4577:PoC エクスプロイトが公開
2024/06/06:PHP の深刻な RCE 脆弱性 CVE-2024-4577 が FIX
IoT OT Security News 
You must be logged in to post a comment.