باجافزار TellYouThePass با بهرهبرداری از یک نقص امنیتی بحرانی با شناسه CVE-2024-4577 و شدت 9.8 در PHP و استفاده از ابزارهای ویندوزی mshta.exe، کد مخرب خود را در سیستم قربانی اجرا و بارگذاری میکند. این حمله از باینری mshta.exe ویندوز جهت اجرای یک فایل HTML مخرب (HTA) استفاده میکند که فایل HTA حاوی VBScript با یک رشته کدگذاریشده base64 است که به یک باینری تبدیل میشود و این باینری یک نسخه .NET از ransomware را در حافظه سیستم میزبان بارگذاری میکند. این بدافزار پس از اجرا، یک درخواست HTTP به سرور C&C ارسال میکند پس از برقراری ارتباط، بدافزار شروع به رمزگذاری فایلهای موجود در ماشین آلوده میکند. سپس یک یادداشت باجخواهی به نامREAD_ME10.html با دستورالعملهایی برای قربانی در مورد چگونگی بازگرداندن فایلهایشان قرار میدهد. در واقع این آسیبپذیری ناشی از تبدیل ناامن کاراکترهای ویندوز هنگام استفاده در حالت CGI میباشد.
محصولات تحت تأثیر
محصولات زیر تحت تأثیر آسیبپذیری مذکور قرار دارند:
- تمامی نسخههای PHP از 5.x به بعد، به ویژه نسخههای 8.3.8، 8.2.20 و 8.1.29 که شامل بهروزرسانیهای امنیتی اخیر میباشند.
- سیستمهایی از سرویس Apache ActiveMQ که قبلاً هدف حملات مشابهی قرار گرفته است .
- سیستمعامل ویندوز که از ابزار mshta.exe جهت اجرای فایلهای HTML مخرب (HTA) استفاده میکند.
- سرورهای وب که از php استفاده می¬کنند به ویژه سرورهایی که در حالت CGI بر روی ویندوز پیکربندی شدهاند.
توصیههای امنیتی
اعمال فوری بهروزرسانی PHP به نسخههای آخر8.3.8- 8.2.20-8.1.29
نظارت بر ترافیک شبکه و استفاده از IDS/IPS
محدود کردن استفاده از ابزارهای اجرای کد مانندmshta.exe
پشتیبانگیری منظم از دادهها و نگهداشتن پشتیبانها در مکانی امن و جدا از شبکه اصلی
آموزش کاربران در خصوص خطرات احتمالی و نحوه شناسایی حملات و استفاده از نرمافزارهای امنیتی پیشرفته و بهروزرسانی منظم سیستمها.
منبع خبر:
https://www.bleepingcomputer.com/news/security/tellyouthepass-ransomware-exploits-recent-php-rce-fl…
- 63