El ransomware TellYouThePass explota una falla reciente de PHP RCE

Iniciado por AXCESS, Junio 11, 2024, 10:37:26 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Junio 11, 2024, 10:37:26 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

La banda de ransomware TellYouThePass ha estado explotando la vulnerabilidad de ejecución remota de código CVE-2024-4577 recientemente parcheada en PHP para entregar webshells y ejecutar la carga útil del cifrado en los sistemas de destino.

Los ataques comenzaron el 8 de junio, menos de 48 horas después de la publicación de las actualizaciones de seguridad por parte de los mantenedores de PHP, y se basaron en código de explotación disponible públicamente.

El ransomware TellYouThePass es conocido por aprovechar rápidamente los exploits públicos en busca de vulnerabilidades con un amplio impacto. El pasado mes de noviembre utilizaron un Apache ActiveMQ RCE en ataques y en diciembre de 2021 adoptaron el exploit Log4j para vulnerar empresas.

En los últimos ataques detectados por investigadores de la empresa de ciberseguridad Imperva, TellYouThePass explota el error de gravedad crítica CVE-2024-4577 para ejecutar código PHP arbitrario, utilizando el binario mshta.exe de Windows para ejecutar un archivo de aplicación HTML (HTA) malicioso.

Archivo HTA malicioso
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Este archivo contiene VBScript con una cadena codificada en base64 que se decodifica en un binario, cargando una variante .NET del ransomware en la memoria del host, explican los investigadores de Imperva.

VBScript inyectando la carga útil en la memoria
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Tras su ejecución, el malware envía una solicitud HTTP a un servidor de comando y control (C2) disfrazada de solicitud de recurso CSS y cifra los archivos en la máquina infectada.

Luego coloca una nota de rescate, "READ_ME10.html", con instrucciones para la víctima sobre cómo restaurar sus archivos.

Las publicaciones de los usuarios en el foro BleepingComputer indican que los ataques TellYouThePass se han cobrado víctimas desde el 8 de junio y que la nota de rescate exigía 0,1 BTC (alrededor de 6.700 dólares) por la clave de descifrado.

Un usuario que tenía cifrada una computadora que alojaba su sitio web descubrió que la campaña de ransomware TellYouThePass había afectado a varios sitios web.

Error explotado poco después de la corrección

CVE-2024-4577 es una vulnerabilidad crítica de RCE que afecta a todas las versiones de PHP desde 5.x. Proviene de conversiones de codificación de caracteres inseguras en Windows cuando se usa en modo CGI.

La vulnerabilidad fue descubierta el 7 de mayo por Orange Tsai de Devcore, quien la informó al equipo de PHP. Se entregó una solución el 6 de junio con el lanzamiento de las versiones de PHP 8.3.8, 8.2.20 y 8.1.29.

Según un informe de Censys, hay más de 450.000 servidores PHP expuestos que podrían ser vulnerables al CVE-2024-4577 RCE, la mayoría de ellos ubicados en Estados Unidos y Alemania.

La startup de seguridad en la nube Wiz dio una estimación más específica de cuántas de esas instancias podrían ser vulnerables, elevando el número a alrededor del 34%.

El viernes, un día después del parche, WatchTowr Labs lanzó un código de explotación de prueba de concepto (PoC) para CVE-2024-4557. El mismo día, la Fundación Shadowserver observó intentos de explotación de sus honeypots.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario