Les cybercriminels exploitent rapidement une vulnrabilit critique dans PHP (CVE-2024-4577) avec une gravit de 9,8, permettant l’excution de code malveillant. Le groupe TellYouThePass cible opportunment des serveurs non mis jour, infectant principalement des serveurs en Chine, au Japon et Tawan, o les sites sont convertis pour afficher des fichiers chiffrs avec une extension .locked, et demandant une ranon de 6 500 dollars pour la cl de dcryptage. La vulnrabilit rsulte de la conversion incorrecte des caractres Unicode en ASCII par PHP en mode CGI et a t exploite ds sa publication le 6 juin.
Common Vulnerabilities and Exposures (CVE) est un rpertoire des informations publiques concernant les vulnrabilits de scurit. Ce rpertoire est gr par l’organisme MITRE et bnficie du soutien du dpartement de la Scurit intrieure des tats-Unis. La mission du programme CVE est d’identifier, de dfinir et de cataloguer les vulnrabilits en matire de cyberscurit divulgues publiquement.
Le 10 juin, Censys a rvl une vulnrabilit critique dans PHP-CGI, permettant l’excution de code distance par injection d’arguments. Connue sous le nom de CVE-2024-4577, cette vulnrabilit a t publie le 6 juin 2024 avec un score CVSS de 9,8, la classant comme critique. Elle est due une neutralisation incorrecte des lments spciaux utiliss dans une commande OS, rpertorie sous le CWE-78.
Cette vulnrabilit touche les installations PHP sur Windows en mode CGI ou exposant le binaire PHP, dans les versions suivantes : PHP 8.3 avant 8.3.8, PHP 8.2 avant 8.2.20, et PHP 8.1 avant 8.1.29. Une exploitation russie permettrait un attaquant non authentifi d’excuter du code arbitraire sur un serveur PHP vulnrable, entranant une compromission totale du systme.
L’exploitation de cette vulnrabilit dcoule d’erreurs dans les conversions d’encodage de caractres, spcifiquement lies la fonction Best Fit de Windows. Cela permet aux attaquants de contourner des protections antrieures, telles que CVE-2012-1823, par des squences de caractres spcifiques, facilitant les attaques par injection d’arguments. Bien que cette vulnrabilit ne figure pas actuellement dans la base CISA KEV, ShadowServer a observ des tentatives d’exploitation.
Pour remdier cette vulnrabilit, PHP a publi les versions 8.3.8, 8.2.20 et 8.1.29 le 6 juin 2024. Il est fortement recommand de mettre jour PHP vers ces versions. Pour les systmes ne pouvant pas tre mis jour immdiatement, des mesures d’attnuation temporaires telles que la modification des rgles de rcriture d’Apache ou la dsactivation de PHP-CGI sont proposes.
Censys a identifi environ 458 800 instances PHP potentiellement vulnrables au 9 juin 2024, principalement golocalises aux tats-Unis, suivies par l’Allemagne. Il est important de noter que ce chiffre pourrait surestimer l’impact rel, car il ne dtecte pas ncessairement si le mode CGI est activ. La divulgation de la CVE-2024-4577 a t rapidement transforme en arme par le programme TellYouThePass pour pntrer dans les serveurs et chiffrer les fichiers depuis le 7 juin environ. Censys a publi un tableau de bord qui suit les htes infects publiquement exposs, en observant environ 1 000 la date du 13 juin, principalement golocaliss en Chine.
CVE-2024-4577 affecte PHP uniquement en mode CGI, o un serveur web traite les requtes HTTP et les passe un script PHP. Mme sans configuration CGI, les excutables PHP comme php.exe et php-cgi.exe peuvent tre exploits s’ils sont dans des rpertoires accessibles par le serveur web, une situation rare sauf avec XAMPP, qui le configure par dfaut. De plus, la locale de Windows doit tre en chinois ou japonais.
La vulnrabilit a t annonce le 6 juin avec un correctif de scurit. Les chercheurs d’Imperva ont observ que dans les 24 heures suivant cette publication, des attaquants ont exploit cette faille pour installer TellYouThePass, utilisant le binaire mshta.exe pour excuter un fichier HTML malveillant hberg par l’attaquant, une mthode connue sous le nom de living off the land.
Censys a publi un tableau de bord pour suivre les htes publiquement exposs et infects par le ransomware TellYouThePass au fil du temps. La premire victime exposant des artefacts de ransomware a t identifie le 8 juin, en ligne avec les observations d’Imperva. Le nombre d’htes compromis a vari, passant de 1 800 le 10 juin environ 1 000 le 13 juin, principalement en Chine. Ce chiffre pourrait tre plus lev si les serveurs compromis n’ont pas d’indexation d’annuaire configure.
Surveillance globale en temps rel : propagation des infections par le ranongiciel TellYouThePass exploitant CVE-2024-4577
L’exploitation disproportionne observe en Chine est probablement due au fait que les systmes Windows avec des localisations chinoises ou japonaises sont vulnrables en raison de leur configuration XAMPP par dfaut. Le ransomware modifie le service en un rpertoire ouvert, cryptant les fichiers et ajoutant des notes de ranon nommes READ_ME9.html, READ_ME10.html, READ_ME11.html. Les notes de ranon demandent 0,1 BTC.
L’application rapide de correctifs est le meilleur moyen de rduire le risque d’exploitation. La mise niveau vers Mod-PHP, FastCGI ou PHP-FPM, plus srs, est recommande pour remplacer PHP-CGI, obsolte.
CVE-2024-4577 est une vulnrabilit d’injection de commande dans toutes les versions non corriges de PHP, exploitable distance dans certaines circonstances. Elle provient de conversions d’encodage de caractres non sres, permettant de contourner les protections mises en place pour attnuer la vulnrabilit de la CVE-2012-1823. Les chercheurs ont not que XAMPP pour Windows utilise par dfaut une configuration vulnrable.
Cette campagne suit un schma connu : une vulnrabilit critique affectant de nombreux serveurs exposs attire des acteurs opportunistes, entranant une campagne d’exploitation massive. De nombreuses compromissions concernent probablement des serveurs web personnels ou des systmes oublis. Le ranongiciel transforme un service en un rpertoire ouvert, chiffrant chaque fichier avec une extension .locked, supprimant le fichier original et ajoutant des notes de ranon nommes « READ_ME[0-9]+.html ».
Suivi des infections par TellYouThePass
Censys a publi un tableau de bord en direct pour suivre les htes publiquement exposs infects par TellYouThePass. Au 13 juin, environ 1 000 htes infects sont encore en ligne.
Depuis le 7 juin, il y a eu une rapide augmentation du nombre d’htes infects par le ransomware TellYouThePass, exposant des notes de ranon varies telles que « READ_ME9 », « READ_ME10 » et « READ_ME11 ». Le pic a t observ le 10 juin avec environ 1 800 htes touchs, avant de commencer diminuer progressivement jusqu’ environ 1 000 htes le 13 juin.
Plus de la moiti des infections sont concentres en Chine, ce qui est cohrent avec les constatations de l’quipe de scurit tawanaise Red Team DEVCORE. Ils ont not que les configurations par dfaut des installations XAMPP sur les systmes Windows en chinois traditionnel, chinois simplifi ou japonais exposent le binaire excutable PHP dans le rpertoire CGI, les rendant ainsi vulnrables CVE-2024-4577.
La rcente srie d’attaques se concentre principalement sur les notes de ranon numrotes de 9 11. Cependant, Censys a galement dtect un faible nombre d’htes exposant des notes de ranon plus anciennes telles que READ_ME1.html et READ_ME4.html. Il est possible que ces dernires soient des reliques de campagnes d’exploitation antrieures menes par TellYouThePass.
Des chercheurs d’Arctic Wolf ont suggr que READ_ME4.html pourrait tre li la campagne de novembre 2023 ciblant les instances vulnrables d’Apache ActiveMQ. En accord avec cette hypothse, Censys a identifi des indices d’instances ActiveMQ sur certains htes exposant « READ_ME4.html », les reliant potentiellement aux attaques centres sur ActiveMQ.
La vulnrabilit critique CVE-2024-4577 dans PHP, avec un score de gravit de 9,8, illustre de manire frappante la rapidit avec laquelle les cybercriminels peuvent exploiter des failles de scurit. Cette vulnrabilit, cause par une conversion incorrecte des caractres Unicode en ASCII par PHP en mode CGI, met en lumire plusieurs enjeux cruciaux en matire de cyberscurit :
- Importance des mises jour : la rapidit avec laquelle le groupe TellYouThePass a exploit cette faille dmontre l’importance vitale de maintenir les systmes jour. Les administrateurs de serveurs doivent tre vigilants et appliquer les correctifs ds leur disponibilit pour minimiser les risques d’exploitation ;
- Vulnrabilit des configurations par dfaut : le fait que les serveurs les plus touchs se trouvent en Chine, au Japon et Tawan suggre que certaines configurations par dfaut, comme celles de XAMPP, sont particulirement vulnrables. Cela souligne la ncessit pour les dveloppeurs et administrateurs de personnaliser et scuriser leurs configurations au-del des paramtres par dfaut ;
- Ractivit des cybercriminels : l’exploitation de la vulnrabilit ds sa publication le 6 juin montre quel point les cybercriminels peuvent tre ractifs et opportunistes. Cela met en vidence la ncessit pour les entreprises de surveiller activement les annonces de nouvelles vulnrabilits et de prparer des plans d’action pour des rponses rapides.
Sources : Censys (1, 2)
Et vous ?
Quel est votre avis sur le sujet ?
En quoi la conversion incorrecte des caractres Unicode en ASCII par PHP en mode CGI constitue-t-elle une faille critique ?
Quelles sont les implications long terme pour la rputation des entreprises victimes de telles attaques et quelles stratgies de gestion de crise peuvent tre adoptes pour attnuer ces impacts ?
Voir aussi :