Il recente exploit di una vulnerabilità PHP ha portato a un aumento degli attacchi ransomware, con il gruppo TellYouThePass che ha iniziato a sfruttare la falla solo due giorni dopo la divulgazione pubblica. Questo articolo fornirà una panoramica della vulnerabilità, degli attacchi ransomware correlati, e fornirà consigli e best practice per proteggere il tuo sito web e i tuoi dati.
Panoramica della vulnerabilità PHP
La vulnerabilità PHP, identificata come CVE-2024-4577, è stata scoperta e divulgata al pubblico di recente. Questa vulnerabilità permette a un aggressore remoto di eseguire codice arbitrario su un server Windows che utilizza Apache e PHP-CGI, se la configurazione del sistema consente l’uso di determinate pagine di codici.
La causa principale di questo problema risiede nell’implementazione PHP, che non ha considerato il comportamento “Best-Fit” di Windows, che controlla la conversione dei caratteri Unicode nei caratteri ANSI più vicini. Gli aggressori possono sfruttare questa mancanza fornendo sequenze di caratteri specifiche che verranno convertite e fornite al modulo php-cgi, che potrebbe interpretarle come opzioni PHP e passarle al binario in esecuzione.
Attacchi Ransomware Correlati
Il gruppo TellYouThePass, attivo dal 2019, ha sfruttato questa vulnerabilità per lanciare attacchi ransomware contro sistemi vulnerabili. Gli aggressori eseguono codice PHP arbitrario sulle macchine target e quindi utilizzano la funzione “system” per eseguire un file HTML da un server web remoto. Il malware TellYouThePass viene quindi caricato come un file .NET eseguibile direttamente in memoria.
Una volta eseguito, il malware stabilisce una connessione con il server di comando e controllo (C&C), enumera le directory, ferma i processi in esecuzione, genera chiavi di crittografia necessarie e inizia a crittografare i file con estensioni specifiche. Il gruppo TellYouThePass ha una storia di attacchi contro aziende e individui, sfruttando vulnerabilità come Apache Log4j (CVE-2021-44228) e ActiveMQ (CVE-2023-46604).
Consigli e Best Practice
Per proteggere il tuo sito web e i tuoi dati da questi attacchi, è importante seguire queste linee guida:
- Aggiorna PHP: Assicurati di utilizzare una versione aggiornata di PHP, poiché la vulnerabilità è stata patchata nelle versioni 8.1.29, 8.2.20, e 8.3.8.
- Limitazione dell’accesso: Restringi l’accesso al tuo server web solo alle fonti di cui ti fidi.
- Configurazione del server: Configura il tuo server web in modo da disabilitare l’esecuzione di codice PHP da directory non attendibili.
- Monitoraggio continuo: Monitora attivamente il tuo sito web e i log del server per individuare eventuali attività sospette.
- Backup regolari: Esegui backup regolari dei tuoi dati e del tuo sito web per garantire la possibilità di ripristinare i dati in caso di attacco.
- Sensibilizzazione del personale: Sensibilizza il tuo personale alle minacce informatiche e alle best practice di sicurezza.
- Implementazione di un firewall: Implementa un firewall per bloccare il traffico dannoso e monitorare le attività sospette.
La vulnerabilità PHP CVE-2024-4577 ha portato a un aumento degli attacchi ransomware, con il gruppo TellYouThePass che ha sfruttato la falla solo due giorni dopo la divulgazione pubblica. Per proteggere il tuo sito web e i tuoi dati, è importante aggiornare PHP, limitare l’accesso, configurare il server in modo sicuro, monitorare attivamente il tuo sito web, eseguire backup regolari, sensibilizzare il personale e implementare un firewall. Seguendo queste best practice, puoi ridurre il rischio di subire un attacco ransomware e proteggere i tuoi dati.
