TL;DR: La récente divulgation de la CVE-2024-4577 a été rapidement transformée en arme par le programme TellYouThePass pour pénétrer dans les serveurs et crypter les fichiers depuis le 7 juin environ. Censys a publié un tableau de bord qui suit les hôtes infectés publiquement exposés, en observant environ 1 000 à la date du 13 juin, principalement géolocalisés en Chine.
Nous avons abordé cette question pour la première fois dans un avis publié le 10 juin 2024 : https://censys.com/cve-2024-4577/.
Ce blog traite de l'évolution de l'exploitation de cette vulnérabilité, de la campagne TellYouThePass et de nos observations concernant les hôtes compromis.
Résumé
- CVE-2024-4577 est une vulnérabilité critique d'exécution de code à distance (RCE) affectant toutes les versions de PHP. Selon l'avis original aviscette vulnérabilité permet à des attaquants non authentifiés d'exécuter du code arbitraire sur des serveurs PHP vulnérables dans l'une des configurations suivantes :
- Exécuter PHP en mode CGI
- Exposer le binaire PHP dans le répertoire CGI - ce qui est la configuration par défaut dans configuration par défaut dans XAMPP, un paquetage populaire de serveur web Apache
- Les TellYouThePass exploite activement cette faille depuis le 7 juin 2024 pour diffuser des ransomwares. Cette campagne est le reflet d'incidents antérieurs de ransomware au cours desquels des gangs ont procédé à un balayage de masse opportuniste de l'internet à la recherche de systèmes vulnérables à la suite d'une faille très médiatisée, en ciblant indistinctement tout serveur accessible.
- Censys a publié un tableau de bord qui suit les hôtes publiquement exposés infectés par le ransomware TellYouThePass au fil du temps :
- La première première victime exposant des artefacts de ransomware est apparue dans nos analyses le 8 juince qui correspond aux observations d Imperva
- Il y a maintenant environ 1 000 hôtes compromis en ligne à la date du 13 juin, principalement en ChineLe nombre d'hôtes compromis est passé de 1 800 le 10 juin à 1 000 le 13 juin, principalement en Chine. Ce chiffre pourrait être plus élevé si les serveurs compromis n'ont pas d'indexation d'annuaire configurée.
- L'exploitation disproportionnée observée en Chine s'explique probablement par le fait que les systèmes Windows avec des localisations chinoises ou japonaises sont intrinsèquement vulnérables en raison de leur configuration XAMPP par défaut.
- Le ransomware semble modifier le service en un répertoire ouvertIl crypte les fichiers et ajoute des notes de rançon (avec des noms de fichiers tels que READ_ME9.html, READ_ME10.html, READ_ME11.html).
- Les notes de rançon sont presque identiques et demandent 0,1 BTC.
- L'application rapide de correctifs est le meilleur moyen de réduire le risque d'exploitation, de même que la mise à niveau pour utiliser Mod-PHP, FastCGI ou PHP-FPM, plus sûrs, à la place de PHP-CGI, obsolète.
- Censys Search query for compromised hosts: services: (http.response.body:{“READ_ME9.html”, “READ_ME10.html”, “READ_ME11.html”} and http.response.body:”*.locked*”).
Contexte
CVE-2024-4577 est une vulnérabilité d'injection de commande dans toutes les versions non corrigées de PHP qui peut être exploitée à distance dans certaines circonstances. Elle provient de conversions d'encodage de caractères non sûres qui peuvent contourner les protections mises en place pour atténuer la vulnérabilité de la CVE-2012-1823.
Les chercheurs à l'origine de cette CVE ont remarqué qu'un projet populaire, XAMPP pour Windowsutilise par défaut l'une de ces configurations vulnérables. XAMPP est un paquetage de distribution Apache open source populaire pour le développement de serveurs web.
TellYouThePass est un gang de ransomwares actif depuis 2019, connu pour exploiter rapidement des vulnérabilités répandues telles que Log4Shell et Apache ActiveMQ . Ils sont connus pour cibler à la fois les entreprises et les particuliers sur les systèmes Windows et Linux.
Cette campagne suit un schéma que nous avons déjà vu se dérouler : une vulnérabilité critique affectant un grand nombre de serveurs exposés à l'internet attire l'attention d'acteurs opportunistes de la menace, et il en résulte une campagne d'exploitation massive ciblant les serveurs vulnérables les plus faciles à trouver en ligne, peu importe à qui ils appartiennent ou ce qu'ils sont.
Il est probable que nombre de ces compromissions concernent des serveurs web personnels ou des systèmes oubliés qui ne sont plus activement entretenus. Et comme pour les précédents incidents de ransomware que nous avons suivis, tels qu'ESXiargs, il est probable qu'il s'agisse de serveurs web personnels. ESXiargs (février 2023) et NAS QNAP Deadbolt (janvier 2022), les notes de ransomware de cette campagne sont susceptibles de persister sur les systèmes affectés pendant une longue période, potentiellement des années, jusqu'à ce que les systèmes soient finalement mis hors service.
Bien que CVE-2024-4577 soit critique et activement exploité, les circonstances spécifiques requises pour qu'un système soit vulnérable, et la sophistication relativement faible du ransomware déployé, suggèrent que l'impact pourrait être limité à un sous-ensemble de systèmes qui répondent aux critères de vulnérabilité (locales en japonais ou en chinois, et la capacité d'injecter des arguments qui sont transmis directement au binaire PHP d'une manière ou d'une autre (c.-à-d., PHP-CGI)).
Les organisations et les particuliers devraient accorder la priorité à l'application de correctifs et à la sécurisation de leurs systèmes, en particulier ceux qui utilisent Windows PHP avec des locales chinoises ou japonaises.
Chronologie des événements
- 7 mai: CVE-2024-4577 vulnérabilité découverte et rapportée à l'équipe PHP
- 6 juin: PHP publie des mises à jour de sécurité (versions 8.3.8, 8.2.20, et 8.1.29) pour corriger la faille (https://www.php.net/downloads)
- 7 juin: Publication du code d'exploitation de la preuve de concept pour CVE-2024-4577
- 7-8 juin: Le gang du ransomware TellYouThePass commence à exploiter la vulnérabilité, et la première victime est signalée.
- 8 juin: En utilisant des données historiques, Censys a observé la première série d'hôtes TellYouThePass compromis.
- 10 juin: Imperva signale l'exploitation de CVE-2024-4577 pour distribuer le ransomware TellYouThePass
- 13 juinCensys a publié un tableau de bord en direct qui suit les hôtes infectés publiquement exposés
Censys Résultats
Artefacts d'infection TellYouThePass
D'après notre analyse, le ransomware semble changer l'apparence d'un service en un répertoire ouvert (si le serveur a été configuré pour activer l'indexation des répertoires), ce qui entraîne une fuite du système de fichiers du service configuré.
En analysant ces listes de répertoires, nous observons que l'outil de rançon crypte d'abord chaque fichier dans un fichier verrouillé par des points (.locked), puis supprime le fichier original non crypté, et enfin ajoute une ou plusieurs notes de rançon suivant la convention de dénomination "READ_ME[0-9]+.html". Les captures d'écran suivantes illustrent ce phénomène :
Service tel qu'observé par Censys le Jun 07, 2024 05:32 AM UTC - avant compromis
Service observé par Censys le Jun 08, 2024 03:49 PM UTC - après compromis
Ce diff historique peut également être visualisé plus précisément dans Censys Search : https://search. xml-ph-0000@deepl.internal .io/hosts/202.61.85.104/diff?at_time=2024-06-07T05%3A32%3A44.485Z&at_time_b=2024-06-08T15%3A49%3A43.302Z
Jusqu'à présent, nous avons identifié trois notes de rançon distinctes associées à cette récente vague d'exploitation : READ_ME9.html, READ_ME10.htmlet READ_ME11.html.
Les notes de ransomware associées à cet acteur de la menace ont un contenu quasiment identique, à l'exception d'un identifiant dynamique attribué à chaque victime. La demande de rançon spécifiée dans les notes est de 0,1 BTC, ce qui équivaut actuellement à environ 6,6k-6,7k USD (sur la base du taux de change actuel du taux de change actuel du bitcoin).
Exemple de contenu d'une note de ransomware
L'adresse Bitcoin fournie pour le paiement de la rançon est : bc1qnuxx83nd4keeegrumtnu8kup8g02yzgff6z53l.
En examinant l'historique des l'historique des transactions de ce portefeuillele transfert le plus récent semble avoir été effectué le 27 avril 2024, mais il s'agissait d'un transfert d'argent de ce porte-monnaie vers un autre porte-monnaie. un autre portefeuille (bc1qytcntagd9wqur4fmnqpjmp2s4n8kgzd49c7qlf), et l'argent qui s'y trouvait auparavant n'avait pas été touché depuis le 22 mars 2024. Il ne semble pas, à première vue, que des rançons soient activement versées à cette adresse pour cette campagne.
Historique des transactions pour l'adresse Bitcoin TellYouThePass.
Censys Search query for compromised hosts: services: (http.response.body:{“READ_ME9.html”, “READ_ME10.html”, “READ_ME11.html”} and http.response.body:”*.locked*”).
Suivi des infections par TellYouThePass
Nous avons publié un tableau de bord en direct qui suit les hôtes publiquement exposés infectés par le ransomware TellYouThePass. Au 13 juin, nous observons actuellement environ 1 000 hôtes infectés en ligne.
Censys a observé une augmentation rapide du nombre d'hôtes infectés exposant les notes du ransomware TellYouThePass, à partir de zéro le 7 juin. Les jours suivants ont été marqués par une forte augmentation :
- 8 juin : Environ 670 hôtes infectés, affichant une combinaison de notes "READ_ME9" et "READ_ME10", les notes "READ_ME9" étant les plus fréquentes.
- 9 juin : Près de 1 700 hôtes infectés sont exposés.
- 10 juin : Environ 1 800 hôtes infectés sont exposés.
- 11 juin : Le nombre d'hôtes infectés exposés commence à diminuer, passant à environ 1700.
- 12 juin : Censys a détecté une nouvelle vague d'infections avec une note de rançon différente : "READ_ME11".
- 13 juin : Le nombre d'hôtes infectés exposés a continué à diminuer progressivement, avec environ 1 000 hôtes encore en ligne au 13 juin.
Plus de la moitié de ces compromissions semblent se produire en Chine. Cela correspond aux observations faites dans l'avis de sécurité original par la société taïwanaise "Red Team". DEVCORE selon lequel les installations XAMPP sur des systèmes Windows fonctionnant en chinois traditionnel, chinois simplifié ou japonais sont configurées pour exposer par défaut le binaire exécutable PHP dans le répertoire CGI, ce qui les rend vulnérables à la CVE-2024-4577 par défaut.
Si la récente vague d'attaques concerne principalement les notes de rançon numérotées de 9 à 11, Censys a également observé un petit nombre d'hôtes exposant deux notes de rançon de numéro inférieur : READ_ME1.html et READ_ME4.html (Requête de recherche). Il est possible qu'il s'agisse de vestiges de campagnes d'exploitation antérieures de TellYouThePass.
Des chercheurs d'Arctic Wolf ont suggéré que READ_ME4.html en particulier pourrait être associé à la campagne novembre 2023 visant les instances vulnérables d'Apache ActiveMQ vulnérables.
Conformément à cette hypothèse, Censys a identifié des indications d'instances ActiveMQ sur quelques-uns des hôtes exposant le service READ_ME4.html ce qui pourrait les relier aux précédentes attaques centrées sur ActiveMQ.
Exemple de liste d'annuaire sur un hôte exposant une note de rançon READ_ME4.html et un service lié à ActiveMQ
Caractérisation des hôtes infectés
Comme nous l'avons mentionné plus haut, le ransomware semble modifier le service PHP sous-jacent pour présenter un répertoire ouvert qui expose le système de fichiers interne de l'hôte compromis.
En analysant ces listes de répertoires, nous avons observé un fichier de 9.0M nommé help.scr sur 78 hôtes compromis, ce qui a attiré notre attention. Les fichiers SCR, abréviation de "Screensaver", sont des fichiers exécutables couramment utilisés pour distribuer des logiciels malveillants. Ces fichiers peuvent contenir un code malveillant déguisé en économiseur d'écran ou autre programme apparemment inoffensif, ce qui en fait un vecteur courant de diffusion de charges utiles malveillantes pour les acteurs de la menace.
Il n'est pas clair au départ si ces help.scr étaient présents sur les hôtes avant la compromission ou s'ils ont été déposés par la campagne TellYouThePass.
Exemple 1 : Liste des répertoires exposant un fichier help.scr
Sur l'un des hôtes compromis, illustré dans la capture d'écran ci-dessus, l'horodatage indiqué pour le fichier help.scr est 2023-11-30 13:09, ce qui correspond à la vague d'exploitation ActiveMQ de novembre 2023 par TellYouThePass. Ceci pourrait suggérer que le fichier est une relique de cette infection, mais il est également possible qu'il n'ait aucun lien avec la campagne TellYouThePass.
Prenons un autre exemple.
Exemple 2 : Liste des répertoires exposant un fichier help.scr
Sur cet hôte, l'horodatage de help.scr est le 11 juin 2024, ce qui correspond à la chronologie de la campagne actuelle. C'est une autre indication que le fichier pourrait être lié au ransomware, mais cela reste spéculatif.
En examinant certains de ces chemins de fichiers dans la base de données URLhaus, on constate que nombre d'entre eux ont été signalés et associés à la balise "TellYouThePass" à la date d'aujourd'hui, 14 juin 2024 (https://urlhaus.abuse.ch/browse/tag/TellYouThePass/).
Une analyse plus approfondie est nécessaire pour déterminer avec certitude l'origine du fichier et la manière dont il est potentiellement exploité.
Censys Search query for compromised directory listings exposing a help.scr file: services: (http.response.body:{“READ_ME9.html”, “READ_ME10.html”, “READ_ME11.html”} and http.response.body:”*.locked*” and http.response.body:”*help.scr*”)
Que peut-on faire ?
Cette campagne particulière semble se contenter de scanner l'internet à la recherche de serveurs PHP vulnérables et de les exploiter sans tenir compte du propriétaire ou de la nature du site web. Ce comportement opportuniste suggère que les attaquants ne ciblent probablement pas des organisations ou des individus spécifiques, mais tentent simplement d'exploiter des serveurs vulnérables facilement identifiables.
Cela dit, il est fortement recommandé de mettre à jour rapidement votre version de PHP et d'opter pour une alternative plus sûre à PHP-CGI.
Références :
