Le ransomware TellYouThePass exploite la faille critique dans PHP pour pirater les serveurs Web !
Le gang de ransomware TellYouThePass exploite activement la faille de sécurité critique découverte dans PHP ! Grâce à cette vulnérabilité, ils peuvent déployer un webshell et l'utiliser pour exécuter un payload pour chiffrer les données du système compromis ! Faisons le point sur cette menace.
Depuis quelques jours, une faille de sécurité critique présente dans PHP et associée à la référence CVE-2024-4577 a été divulguée et corrigée par les mainteneurs du projet PHP. Présente dans toutes les versions de PHP à partir de la version 5.X, et jusqu'aux branches les plus récentes, cette vulnérabilité permet une exécution de code à distance lorsque PHP est utilisé sur Windows. Si vous souhaitez en savoir plus, retrouvez notre article à ce sujet : PHP - CVE-2024-4577.
Le 6 juin 2024, de nouvelles versions de PHP ont été publiées pour corriger cette vulnérabilité. Moins de 48 heures plus tard, le gang de ransomware TellYouThePass a commencé à lancer ses premières attaques ! D'ailleurs, ce n'est pas la première fois que ce gang de ransomware se montre très réactif pour tenter d'exploiter les vulnérabilités présentes sur les services Web. C'était déjà le cas avec une précédente vulnérabilité dans Apache ActiveMQ ainsi que la fameuse faille de sécurité dans Log4j.
Les chercheurs en sécurité d'Imperva ont mis en ligne un nouveau rapport pour évoquer cette campagne de cyberattaques menée par TellYouThePass. "Les attaquants ont utilisé l'exploit connu pour la CVE-2024-3577 afin d'exécuter un code PHP arbitraire sur le système cible, en s'appuyant sur le code pour utiliser la fonction "system" afin d'exécuter un fichier d'application HTML hébergé sur un serveur web contrôlé par l'attaquant via le binaire mshta.exe.", peut-on lire.
Une fois que la souche malveillante est en place, elle envoie une requête HTTP au serveur C2 des cybercriminels pour notifier l'infection. Afin d'échapper aux systèmes de détection, cette requête se fait passer pour une demande de récupération de ressources CSS. Au passage, l'adresse IP du serveur C2 semble codée en dur dans l'échantillon analysé par les chercheurs en sécurité : 88[.]218.76.13.
L'étape finale : l'exécution du ransomware TellYouThePass
La dernière étape consiste à exécuter le ransomware TellYouThePass sur la machine compromise. Autrement dit, sur le serveur Web Windows compromis par l'intermédiaire de PHP.
Le logiciel malveillant commence par énumérer les répertoires avant de tuer différents processus et de générer les clés de chiffrement afin de commencer à chiffrer les données de la machine. Ceci inclut notamment les données de l'application Web.
Pour finir, une note de rançon représentée par le fichier "READ_ME10.html" est déposée sur la machine, à la racine du répertoire web.
Protégez-vous de cette vulnérabilité dès que possible. D'après un rapport de Censys, en date du 9 juin 2024, il y avait 458 800 serveurs exposés sur Internet et potentiellement vulnérables à cette faille de sécurité.
