Der kürzlich entdeckte und behobene kritische PHP-Fehler, gekennzeichnet als CVE-2024-4577, wird aktiv ausgenutzt. Diese Warnung kommt von der CISA und findet sich nun in ihrer Datenbank für "known exploited vulnerabilities" (KEV). Admins für Windows-Server die PHP verwenden, sollten sofortige Maßnahmen ergreifen und die entsprechenden Sicherheitspatches installieren.
Wie üblich – gibt der Hinweis in der KEV-Datenbank keine ausführlichen Details. Es bestätigt jedoch die Nutzung des Bugs in Ransomware-Kampagnen. Das Sicherheitsunternehmen Imperva liefert zusätzliche Einzelheiten. Diese Ransomware, bekannt als "TellYouThePass", wird durch den PHP-Exploit und eine HTA-Datei aktiviert.
Angreifer verwenden die PHP-Funktion "system()" in Kombination mit dem Windows-Tool "mshta". Sobald die Ransomware erfolgreich auf dem System installiert ist, verschlüsselt sie Dateien und hinterlässt Kontaktinformationen in einer Readme-Datei.
Codepage-Tricks: Hintertür für Code-Ausführung
Die genannte Sicherheitslücke in PHP ist nicht neu. Sie stellt lediglich eine Variation eines zwölf Jahre alten Programmierfehlers dar. Dieser Fehler wird als CVE-2012-1823 geführt. Die Entwickler der Skriptsprache konnten ihn damals nicht vollständig beheben. Nun ermöglicht geschickte Kodierung es Angreifern – eigenen Code auf betroffenen Systemen auszuführen.
Auch für die aktuelle Schwachstelle kursieren bereits Beispiel-Exploits – samt Angriffsautomatisierung im Netz. Daher sollten Admins dringend die neusten PHP-Sicherheitsupdates installieren. PHP-Versionen 8.1.29, 8.2.20 oder 8.3.8 gelten als sicher.
Sicherheitsmaßnahmen & Empfehlungen
Sicherheitsforscher von Devcore bieten Tipps zur Risikoeinschätzung und vorübergehenden Absicherung. Schleunig sollten Patches eingespielt werden – um die Sicherheit der Systeme zu gewährleisten. Besonders Admins – die zur Verwendung Unternehmensnetzwerke verantwortlich sind, sollten hier keine Zeit verlieren.
Kommentare