El grupo de ransomware TellYouThePass ha estado aprovechando la vulnerabilidad de ejecución remota de código CVE-2024-4577 CVSS: 9.8, recientemente corregida en PHP, para desplegar webshells y ejecutar la carga útil de cifrado en sistemas afectados.

TellYouThePass es conocido por explotar rápidamente los exploits públicos para vulnerabilidades de gran impacto. En noviembre pasado, utilizaron una ejecución remota de código en Apache ActiveMQ en sus ataques, y en diciembre de 2021, adoptaron el exploit Log4j para comprometer empresas.

Investigadores de la empresa de ciberseguridad Imperva sostienen que: TellYouThePass explota la vulnerabilidad crítica CVE-2024-4577 para ejecutar código PHP arbitrario, utilizando el binario de Windows mshta[.]exe para ejecutar un archivo de aplicación HTML (HTA) malicioso. Este archivo contiene VBScript con una cadena codificada en base64 que se decodifica en un binario, cargando una variante .NET del ransomware en la memoria del host.

Tras su ejecución, el malware envía una solicitud HTTP a un servidor de comando y control (C2), camuflada como una solicitud de recursos CSS, y encripta los archivos. Posteriormente, deja una nota de rescate titulada «READ_ME10[.]html» con instrucciones para que la víctima recupere sus archivos.

La falla identificada como CVE-2024-4577, fue descubierta el 7 de Mayo, es una vulnerabilidad crítica de RCE que afecta a todas las versiones de PHP desde la 5.x. Se origina de conversiones de codificación de caracteres inseguras en Windows cuando se usa en modo CGI.

Según un informe de Censys: hay más de 450.000 servidores PHP expuestos que podrían ser vulnerables a CVE-2024-4577 RCE, la mayoría ubicados en Estados Unidos y Alemania.

Fuente:

TellYouThePass ransomware exploits recent PHP RCE flaw to breach servers

Update: CVE-2024-4577 quickly weaponized to distribute “TellYouThePass” Ransomware | Imperva