Új Ransomware Támadás: PHP Sérülékenység Kihasználása
A zsarolóvírusok egy új hulláma gyorsan kihasználta a PHP programozási nyelv egy könnyen kihasználható sérülékenységét, amely rosszindulatú kódot futtat a webszervereken, állítják biztonsági kutatók.
Fertőzött Szerverek
Csütörtökre a Censys biztonsági cég által végzett internetes vizsgálatok 1,000 szervert azonosítottak, amelyeket a TellYouThePass nevű zsarolóvírus fertőzött meg, ami hétfőn még 1,800 volt. A szerverek, amelyek elsősorban Kínában találhatók, már nem a szokásos tartalmukat jelenítik meg; helyette sok esetben a webhely fájlkönyvtárát listázzák, amely mutatja, hogy minden fájl .locked kiterjesztést kapott, jelezve, hogy titkosították őket. Egy kísérő zsarolólevél körülbelül 6,500 dollárt követel a visszafejtési kulcsért cserébe.
A Sérülékenység Részletei
A CVE-2024-4577 néven nyilvántartott sérülékenység, amely 9.8-as súlyossági besorolást kapott a 10-ből, abból adódik, hogy a PHP hibásan konvertálja az Unicode karaktereket ASCII karakterekké. A Windowsba beépített Best Fit nevű funkció lehetővé teszi a támadók számára, hogy egy argumentum injekció nevű technikát használjanak, amely a felhasználó által megadott bemenetet olyan karakterekké alakítja, amelyek rosszindulatú parancsokat adnak át a fő PHP alkalmazásnak. A kihasználások lehetővé teszik a támadók számára, hogy megkerüljék a CVE-2012-1823-at, egy kritikus kódfuttatási sérülékenységet, amelyet 2012-ben javítottak a PHP-ben.
A CVE-2024-4577 csak akkor érinti a PHP-t, ha az CGI módban fut, amelyben a webszerver HTTP kéréseket elemez és továbbít egy PHP szkriptnek feldolgozásra. Még akkor is, ha a PHP nincs CGI módra állítva, a sérülékenység még mindig kihasználható lehet, ha a PHP végrehajtható fájlok, mint például a php.exe és a php-cgi.exe, olyan könyvtárakban találhatók, amelyek elérhetők a webszerver által. Ez a konfiguráció rendkívül ritka, kivéve az XAMPP platformot, amely alapértelmezés szerint ezt használja. Egy további követelmény úgy tűnik, hogy a Windows helyi beállítása—amely az operációs rendszert a felhasználó helyi nyelvéhez igazítja—kínai vagy japán nyelvre legyen állítva.
A Támadás Menete
A kritikus sérülékenységet június 6-án tették közzé egy biztonsági javítással együtt. 24 órán belül a fenyegető szereplők kihasználták azt a TellYouThePass telepítésére, jelentették az Imperva biztonsági cég kutatói hétfőn. A kihasználások olyan kódot futtattak, amely a mshta.exe Windows binárist használta egy HTML alkalmazás fájl futtatására, amelyet egy támadó által ellenőrzött szerveren tároltak. A bináris használata egy olyan megközelítést jelzett, amelyet living off the land néven ismernek, amelyben a támadók az operációs rendszer natív funkcióit és eszközeit használják, hogy beolvadjanak a normál, nem rosszindulatú tevékenységek közé.
A Censys kutatói pénteken közzétett bejegyzésükben azt mondták, hogy a TellYouThePass banda általi kihasználás június 7-én kezdődött, és hasonlított a múltbeli esetekhez, amelyek opportunista módon tömegesen vizsgálják az internetet a sebezhető rendszerek után egy magas profilú sérülékenység követően, és válogatás nélkül céloznak meg bármilyen elérhető szervert. A fertőzött szerverek túlnyomó többségének IP címei Kínába, Tajvanra, Hongkongba vagy Japánba vannak geolokálva, valószínűleg abból adódóan, hogy a kínai és japán helyi beállítások az egyetlenek, amelyekről megerősítették, hogy sebezhetőek, mondták a Censys kutatói egy emailben.
Azóta a fertőzött webhelyek száma—amelyeket a nyilvános HTTP válasz megfigyelésével detektáltak, amely egy nyitott könyvtárlistát szolgáltat, amely mutatja a szerver fájlrendszerét, valamint a zsarolólevél jellegzetes fájlnevezési konvencióját—ingadozott a június 8-i 670-es mélyponttól a hétfői 1,800-as csúcsig.
Változó Számok
A Censys kutatói egy emailben azt mondták, hogy nem teljesen biztosak abban, mi okozza a változó számokat.
„A mi nézőpontunkból sok kompromittált gazdagép online marad, de a PHP-CGI vagy XAMPP szolgáltatást futtató port leáll—innen a fertőzések számának csökkenése,” írták. „Egy másik szempont, hogy jelenleg nem figyeltek meg váltságdíjfizetéseket az egyetlen Bitcoin címre, amelyet a zsarolólevelekben megadtak. Ezen tények alapján az intuícióink szerint valószínűleg ezek a szolgáltatások megszűntek vagy valamilyen más módon offline állapotba kerültek.”
XAMPP Használat a Gyakorlatban
A kutatók elmondták, hogy a megfigyelt kompromisszumok körülbelül fele egyértelmű jeleket mutat arra, hogy XAMPP-t futtatnak, de ez a becslés valószínűleg alábecsült, mivel nem minden szolgáltatás mutatja kifejezetten, hogy milyen szoftvert használnak.
„Tekintettel arra, hogy az XAMPP alapértelmezés szerint sebezhető, ésszerű feltételezni, hogy a fertőzött rendszerek többsége XAMPP-t futtat,” mondták a kutatók. Ez a Censys lekérdezés listázza azokat a fertőzéseket, amelyek kifejezetten a platformot érintik. A kutatók nem tudnak más konkrét platformokról, amelyeket kompromittáltak volna.
A kompromittált XAMPP szerverek felfedezése meglepte Will Dormannt, az Analygence biztonsági cég vezető sebezhetőségi elemzőjét, mivel az XAMPP karbantartói kifejezetten azt mondják, hogy szoftverük nem alkalmas éles rendszerekhez.
„Azoknak az embereknek, akik nem éles rendszerekhez szánt szoftvert választanak, szembe kell nézniük ennek a döntésnek a következményeivel,” írta egy online interjúban.
Bár az XAMPP az egyetlen platform, amelyről megerősítették, hogy sebezhető, azoknak, akik PHP-t futtatnak bármilyen Windows rendszeren, a lehető leghamarabb telepíteniük kell a frissítést. Az Imperva fent hivatkozott bejegyzése IP címeket, fájlneveket és fájl hash-eket biztosít, amelyeket az adminisztrátorok használhatnak annak meghatározására, hogy célba vették-e őket a támadások.
Érdekes információ: A TellYouThePass zsarolóvírus egyik érdekessége, hogy a fertőzött szerverek egy része nem mutatott semmilyen váltságdíjfizetést, ami arra utalhat, hogy a támadók valójában nem is számítanak a pénzre, hanem inkább a károkozásra koncentrálnak.