ช่องโหว่ใน PHP ที่เพิ่งถูกค้นพบและถูกระบุว่าเป็น CVE-2024-4577 ได้เริ่มถูกนำมาใช้ในการโจมตีด้วยแรนซัมแวร์เพียงไม่กี่วันหลังจากที่มีการเปิดเผยต่อสาธารณะ ช่องโหว่นี้มีผลกระทบต่อเซิร์ฟเวอร์ Windows ที่ใช้ Apache และ PHP-CGI โดยเฉพาะในกรณีที่การกำหนดค่าระบบอนุญาตให้ใช้ code page บางอย่างได้
รายละเอียดของช่องโหว่
ช่องโหว่เกิดจากการที่ PHP ไม่ได้พิจารณาถึงพฤติกรรม ‘Best-Fit’ ของ Windows ซึ่งทำให้การแปลงอักขระ Unicode ไปเป็นอักขระ ANSI ที่ใกล้เคียงที่สุดเป็นไปอย่างไม่ถูกต้อง การละเลยนี้ทำให้ผู้โจมตีสามารถใส่ลำดับอักขระเฉพาะที่จะแปลงและส่งไปยังโมดูล php-cgi ซึ่งอาจตีความผิดว่าเป็นตัวเลือกของ PHP และส่งต่อไปยังไบนารีที่กำลังรันอยู่
การแก้ไขช่องโหว่
ช่องโหว่นี้มีผลกระทบต่อทุกเวอร์ชันของ PHP บน Windows รวมถึงเวอร์ชันที่เลิกใช้แล้ว เช่น 8.0, 7 และ 5 ปัญหานี้ได้รับการแก้ไขด้วยการปล่อย PHP เวอร์ชัน 8.1.29, 8.2.20 และ 8.3.8
การโจมตีโดยกลุ่ม TellYouThePass
สองวันหลังจากที่ PHP ปล่อยแพตช์และเปิดเผยช่องโหว่ต่อสาธารณะ กลุ่มแรนซัมแวร์ TellYouThePass ได้เริ่มโจมตีเซิร์ฟเวอร์ที่มีช่องโหว่ Imperva ราย (Seeklogo) (The company logo database and API)จมตีที่ใช้ช่องโหว่นี้ พวกเขาพบแคมเปญหลายอย่างรวมถึงการพยายามอัพโหลด WebShell และการพยายามวางแรนซัมแวร์บนระบบเป้าหมาย
กลุ่มผู้โจมตีใช้แรนซัมแวร์ TellYouThePass ซึ่งเป็นไฟล์ .NET ที่ถูกโหลดเข้าหน่วยความจำโดยตรง เมื่อรันแล้ว มัลแวร์จะติดต่อกับเซิร์ฟเวอร์สั่งการและควบคุม (C&C) ของมัน จากนั้นจะระบุไดเรกทอรี หยุดกระบวนการที่กำลังทำงาน สร้างคีย์เข้ารหัสที่ต้องการ และเริ่มเข้ารหัสไฟล์ด้วยนามสกุลเฉพาะ
Source : Securityweek
Credit Picture : www.pexels.com
