Ils vous disent que le gang de ransomwares Pass exploite la vulnérabilité d’exécution de code à distance CVE-2024-4577 récemment corrigée en PHP pour fournir des webshells et exécuter la charge utile du chiffreur sur les systèmes cibles.

Les attaques ont commencé le 8 juin, moins de 48 heures après la publication des mises à jour de sécurité par les responsables Php, et reposaient sur un code d’exploitation accessible au public.

Dites – vous que le ransomware Pass est connu pour sauter rapidement sur des exploits publics pour des vulnérabilités ayant un impact important. En novembre dernier, ils ont utilisé un Apache ActiveMQ RCE dans des attaques et en décembre 2021, ils ont adopté l’exploit Log4j pour violer les entreprises.

Dans les dernières attaques repérées par des chercheurs de la société de cybersécurité Imperva, Tell You The Pass exploite le bogue CVE-2024-4577 de gravité critique pour exécuter du code PHP arbitraire, à l’aide de Windows mshta.binaire exe pour exécuter un fichier d’application HTML malveillant (HTA).

Fichier HTA malveillant

Ce fichier contient du VBScript avec une chaîne codée en base64 qui décode en binaire, chargeant a.NOUVELLE variante du ransomware dans la mémoire de l’hôte, expliquent les chercheurs d’Imperva.

VBScript injecte la charge utile en mémoire

Lors de l’exécution, le logiciel malveillant envoie une requête HTTP à un serveur de commande et de contrôle (C2) déguisé en demande de ressource CSS et crypte les fichiers sur la machine infectée.

Il place ensuite une demande de rançon,  » READ_ME10.html,  » avec des instructions pour la victime sur la façon de restaurer ses fichiers.

Les publications d’utilisateurs sur le forum Breachtrace indiquent que les attaques TellYouThePass ont fait des victimes depuis le 8 juin et que la demande de rançon exigeait 0,1 BTC (environ 6 700$) pour la clé de déchiffrement.

Un utilisateur qui avait un ordinateur hébergeant son site Web crypté a constaté que la campagne de ransomware TellYouThePass avait eu un impact sur plusieurs sites Web.

Bug exploité peu de temps après la correction
CVE-2024-4577 est une vulnérabilité critique de RCE qui affecte toutes les versions de PHP depuis la version 5.x. Il provient de conversions d’encodage de caractères non sécurisées sur Windows lorsqu’il est utilisé en mode CGI.

La vulnérabilité a été découverte le 7 mai par Orange Tsai de Devcore, qui l’a signalée à l’équipe PHP. Un correctif a été livré le 6 juin avec la sortie des versions PHP 8.3.8, 8.2.20 et 8.1.29.

Vendredi, un jour après le correctif, WatchTowr Labs a publié le code d’exploitation de preuve de concept (PoC) pour CVE-2024-4557. Le même jour, la Fondation Shadowserver a observé des tentatives d’exploitation de leurs pots de miel.

Selon un rapport de Censys publié hier, plus de 450 000 serveurs PHP exposés pourraient être vulnérables à la vulnérabilité CVE-2024-4577 RCE, la plupart situés aux États-Unis et en Allemagne.

La startup de sécurité dans le cloud Wiz a donné une estimation plus précise du nombre de ces instances susceptibles d’être vulnérables, soit environ 34%.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *