CISA warnt: Kritischer PHP-Bug wird von Ransomware ausgenutzt
Automatisierte Attacken gegen Windows-Systeme mit PHP-CGI führen zur Infektion. Die Angreifer laden Schadcode nach und verschlüsseln den Server.
Der kürzlich veröffentlichte und behobene kritische PHP-Bug mit der CVE-Kennung CVE-2024-4577 wird aktiv ausgenutzt. Davor warnt die CISA durch Aufnahme in ihre Datenbank der "known exploited vulnerabilities" (KEV). Admins von Windows-Servern mit PHP sollten schleunigst patchen.
Wie üblich, ist der Hinweis auf der Übersichtsseite der KEV-Datenbank nicht sehr detailliert, bejaht jedoch die Ausnutzung in Ransomware-Kampagnen. Eine Warnung des Sicherheitsunternehmens Imperva bietet einige Einzelheiten: So heißt die Windows-Ransomware offenbar "TellYouThePass" und wird mittels des PHP-Exploits und einer HTA-Datei ausgeführt. Die Angreifer nutzen dafür die PHP-Funktion "system()" in Verbindung mit dem Windows-Werkzeug "mshta". Hat sich die Ransomware erfolgreich eingenistet, verschlüsselt sie Dateien und hinterlegt Kontaktinformationen in einer Readme-Datei.
Codepage-Tricksereien bringen Code-Ausführung
Die Lücke in PHP ist nicht neu, sondern lediglich eine Variation eines zwölf Jahre alten Programmierfehlers, der damals als CVE-2012-1823 geführt wurde und von den Entwicklern der Skriptsprache nicht vollständig repariert werden konnte. Mittels geschickter Kodierungstricks können Angreifer eigenen Code auf verwundbaren Systemen ausführen.
Mittlerweile kursieren auch für die aktuelle Lücke Beispiel-Exploits nebst Angriffsautomatisierung im Netz. Admins sollten daher schleunigst patchen – die PHP-Versionen 8.1.29, 8.2.20 oder 8.3.8 gelten als repariert. Außerdem geben die Sicherheitsforscher von Devcore Tipps zur Risikoeinschätzung und zur vorübergehenden Absicherung.
(cku)
