16/12/2024

Actu Cybersécurité

Une porte dérobée déployée sur Windows grâce à une faille de sécurité dans PHP !

La faille de sécurité CVE-2024-4577 présente dans PHP, et déjà patchée, est exploitée par un groupe de pirates inconnu dans le but de déployer la porte dérobée Msupedge sur les machines Windows. Faisons le point sur cette menace.

En juin dernier, la faille de sécurité critique associée à la référence CVE-2024-4577 a beaucoup fait parler d'elle. Elle affecte toutes les versions de PHP sauf les versions PHP 8.3.8PHP 8.2.20, et PHP 8.1.29, et les versions supérieures. Les serveurs Web sous Windows sont vulnérables, notamment avec IIS, WAMP ou encore XAMPP.

De plus, elle a rapidement été exploitée par le gang de ransomware TellYouThePass afin de compromettre les serveurs Web sous Windows. Elle est particulièrement attrayante pour les cybercriminels, car elle permet une exécution de code à distance sur le serveur pris pour cible.

Désormais, un groupe de pirates s'appuieraient sur cette vulnérabilité pour déployer une porte dérobée inconnue jusqu'ici et nommée "Msupedge". Le rapport de Symantec précise : "Une porte dérobée inédite (Backdoor.Msupedge) utilisant une technique peu fréquente a été déployée lors d'une attaque contre une université de Taïwan."

Symantec explique que la porte dérobée Msupedge présente la particularité d'utiliser du trafic DNS pour communiquer avec le serveur C2 (Command & Control) des attaquants. Cette technique dite de "DNS tunneling" s'appuie sur un outil open source nommé "dnscat2. Elle permet aux attaquants d'encapsuler des données dans des requêtes et des réponses DNS, et ainsi faciliter la transmission des commandes depuis le serveur C2.

La porte dérobée prend en charge plusieurs commandes, que ce soit pour télécharger des fichiers ou encore créer des processus. Autrement dit, les pirates peuvent l'exploiter pour télécharger et exécuter d'autres souches malveillantes sur la machine Windows compromise.

CVE-2024-4577 : vecteur d'accès initial

Les chercheurs de Symantec ont fait un lien entre cette attaque et la vulnérabilité présente dans PHP : "L'intrusion initiale s'est probablement faite par l'exploitation d'une vulnérabilité PHP récemment corrigée (CVE-2024-4577). Il s'agit d'une faille d'injection d'arguments CGI affectant toutes les versions de PHP installées sur le système d'exploitation Windows."

De plus, depuis plusieurs semaines, des cybercriminels scannent les serveurs exposés sur Internet pour identifier des serveurs vulnérables à cette faille de sécurité.

Si vous utilisez PHP sur Windows, patchez avant qu'il ne soit trop tard...

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.