Alert!

CISA warnt: Kritischer PHP-Bug wird von Ransomware ausgenutzt

Automatisierte Attacken gegen Windows-Systeme mit PHP-CGI fĂĽhren zur Infektion. Die Angreifer laden Schadcode nach und verschlĂĽsseln den Server.

In Pocket speichern vorlesen Druckansicht 47 Kommentare lesen
Stilisiertes Bild mit rötlichen Leiterbahnen, offenem Schloss im Vordergrund und den Worten Data Leak, Security, Exploit found
Lesezeit: 1 Min.

Der kürzlich veröffentlichte und behobene kritische PHP-Bug mit der CVE-Kennung CVE-2024-4577 wird aktiv ausgenutzt. Davor warnt die CISA durch Aufnahme in ihre Datenbank der "known exploited vulnerabilities" (KEV). Admins von Windows-Servern mit PHP sollten schleunigst patchen.

Wie ĂĽblich, ist der Hinweis auf der Ăśbersichtsseite der KEV-Datenbank nicht sehr detailliert, bejaht jedoch die Ausnutzung in Ransomware-Kampagnen. Eine Warnung des Sicherheitsunternehmens Imperva bietet einige Einzelheiten: So heiĂźt die Windows-Ransomware offenbar "TellYouThePass" und wird mittels des PHP-Exploits und einer HTA-Datei ausgefĂĽhrt. Die Angreifer nutzen dafĂĽr die PHP-Funktion "system()" in Verbindung mit dem Windows-Werkzeug "mshta". Hat sich die Ransomware erfolgreich eingenistet, verschlĂĽsselt sie Dateien und hinterlegt Kontaktinformationen in einer Readme-Datei.

Die Lücke in PHP ist nicht neu, sondern lediglich eine Variation eines zwölf Jahre alten Programmierfehlers, der damals als CVE-2012-1823 geführt wurde und von den Entwicklern der Skriptsprache nicht vollständig repariert werden konnte. Mittels geschickter Kodierungstricks können Angreifer eigenen Code auf verwundbaren Systemen ausführen.

Mittlerweile kursieren auch für die aktuelle Lücke Beispiel-Exploits nebst Angriffsautomatisierung im Netz. Admins sollten daher schleunigst patchen – die PHP-Versionen 8.1.29, 8.2.20 oder 8.3.8 gelten als repariert. Außerdem geben die Sicherheitsforscher von Devcore Tipps zur Risikoeinschätzung und zur vorübergehenden Absicherung.

(cku)