CISA waarschuwt: kritieke PHP-bug wordt uitgebuit door ransomware

Een onlangs uitgebrachte en opgeloste kritieke PHP-bug met CVE ID CVE-2024-4577 wordt actief uitgebuit. CISA waarschuwt hiervoor door het op te nemen in haar database van ‘Known Exploited Vulnerabilities’ (KEV). Beheerders van Windows-servers uitgerust met PHP moeten zo snel mogelijk een patch uitvoeren.

advertentie

Zoals gebruikelijk is de opmerking op de overzichtspagina over de KEV-database niet erg gedetailleerd, maar wordt wel de exploit in ransomwarecampagnes erkend. Een waarschuwing van beveiligingsbedrijf Imperva biedt enkele details: De Windows-ransomware lijkt “TellYouThePass” te heten en wordt uitgevoerd met behulp van een PHP-exploit en een HTA-bestand. Aanvallers gebruiken de PHP-functie “system()” in combinatie met de Windows-tool “mshta”. Als de ransomware erin slaagt zichzelf te implanteren, worden de bestanden gecodeerd en worden contactgegevens opgeslagen in een opstartbaar bestand.

Het vervalsen van de codepagina zorgt ervoor dat de code wordt uitgevoerd

De PHP-kwetsbaarheid is niet nieuw, maar slechts een andere versie van een twaalf jaar oude bug, later vermeld als CVE-2012-1823, die de ontwikkelaars van de scripttaal nooit volledig hebben kunnen oplossen. Met behulp van slimme cryptografische trucs kunnen aanvallers hun code uitvoeren op kwetsbare systemen.

Voorbeelden van exploits en aanvalsautomatiseringen voor de huidige kwetsbaarheid circuleren nu online. Beheerders moeten de patch daarom zo snel mogelijk uitvoeren – PHP-versies 8.1.29, 8.2.20 of 8.3.8 worden als opgelost beschouwd. Bovendien geven ze Beveiligingsonderzoeker bij Devcor Tips voor risicobeoordeling en tijdelijke bescherming.

(Kaku)