Une porte dérobée déployée sur Windows grâce à une faille de sécurité dans PHP !
La faille de sécurité CVE-2024-4577 présente dans PHP, et déjà patchée, est exploitée par un groupe de pirates inconnu dans le but de déployer la porte dérobée Msupedge sur les machines Windows. Faisons le point sur cette menace.
En juin dernier, la faille de sécurité critique associée à la référence CVE-2024-4577 a beaucoup fait parler d'elle. Elle affecte toutes les versions de PHP sauf les versions PHP 8.3.8, PHP 8.2.20, et PHP 8.1.29, et les versions supérieures. Les serveurs Web sous Windows sont vulnérables, notamment avec IIS, WAMP ou encore XAMPP.
De plus, elle a rapidement été exploitée par le gang de ransomware TellYouThePass afin de compromettre les serveurs Web sous Windows. Elle est particulièrement attrayante pour les cybercriminels, car elle permet une exécution de code à distance sur le serveur pris pour cible.
Désormais, un groupe de pirates s'appuieraient sur cette vulnérabilité pour déployer une porte dérobée inconnue jusqu'ici et nommée "Msupedge". Le rapport de Symantec précise : "Une porte dérobée inédite (Backdoor.Msupedge) utilisant une technique peu fréquente a été déployée lors d'une attaque contre une université de Taïwan."
Symantec explique que la porte dérobée Msupedge présente la particularité d'utiliser du trafic DNS pour communiquer avec le serveur C2 (Command & Control) des attaquants. Cette technique dite de "DNS tunneling" s'appuie sur un outil open source nommé "dnscat2. Elle permet aux attaquants d'encapsuler des données dans des requêtes et des réponses DNS, et ainsi faciliter la transmission des commandes depuis le serveur C2.
La porte dérobée prend en charge plusieurs commandes, que ce soit pour télécharger des fichiers ou encore créer des processus. Autrement dit, les pirates peuvent l'exploiter pour télécharger et exécuter d'autres souches malveillantes sur la machine Windows compromise.
CVE-2024-4577 : vecteur d'accès initial
Les chercheurs de Symantec ont fait un lien entre cette attaque et la vulnérabilité présente dans PHP : "L'intrusion initiale s'est probablement faite par l'exploitation d'une vulnérabilité PHP récemment corrigée (CVE-2024-4577). Il s'agit d'une faille d'injection d'arguments CGI affectant toutes les versions de PHP installées sur le système d'exploitation Windows."
De plus, depuis plusieurs semaines, des cybercriminels scannent les serveurs exposés sur Internet pour identifier des serveurs vulnérables à cette faille de sécurité.
Si vous utilisez PHP sur Windows, patchez avant qu'il ne soit trop tard...