Il gruppo ransomware TellYouThePass ha iniziato a sfruttare una vulnerabilità critica di esecuzione remota di codice (RCE) in PHP per compromettere i server e distribuire il proprio malware. La vulnerabilità, denominata CVE-2024-4577, è stata scoperta da ricercatori Imperva, che hanno notato l’utilizzo della falla da parte di TellYouThePass solo poche ore dopo la pubblicazione di una dimostrazione di concetto (PoC) il 10 giugno 2024.
Implicazioni per la sicurezza
Questa vulnerabilità RCE consente agli attaccanti non autenticati di eseguire codice arbitrario su installazioni PHP vulnerabili. Il gruppo TellYouThePass sta sfruttando questa falla per ottenere l’accesso iniziale ai server esposti e muoversi lateralmente attraverso le reti delle vittime prima di crittografare i file e richiedere riscatti.
I ricercatori di Imperva hanno avvertito che l’uso rapido di questa vulnerabilità da parte del gruppo TellYouThePass sottolinea l’importanza di applicare immediatamente i patch di sicurezza alle installazioni PHP. Si prevede che altri attori delle minacce adotteranno rapidamente questo exploit come parte delle loro catene di attacco.
Mitigazione del Rrischio
Per mitigare il rischio di compromissione, i responsabili della sicurezza devono aggiornare le loro installazioni PHP alle versioni più recenti. I team di sviluppo PHP hanno rilasciato patch di sicurezza per le versioni 8.2.7, 8.1.19 e 7.4.33 per risolvere la vulnerabilità RCE.
Si raccomanda vivamente agli amministratori di sistema di applicare questi aggiornamenti il più rapidamente possibile, poiché TellYouThePass non è l’unico gruppo di minacce che potrebbe sfruttare questa vulnerabilità.
Best practice per la sicurezza PHP
Oltre all’applicazione tempestiva dei patch di sicurezza, è essenziale adottare le seguenti best practice per la sicurezza PHP:
- Limitare l’accesso alle directory PHP: Utilizzare i file .htaccess per limitare l’accesso alle directory PHP non necessarie.
- Implementare la protezione CSRF: Implementare la protezione Cross-Site Request Forgery (CSRF) per proteggere le applicazioni PHP dalle richieste non autorizzate.
- Utilizzare l’autenticazione a più fattori: Implementare l’autenticazione a più fattori (MFA) per proteggere l’accesso agli account e alle applicazioni.
- Limitare l’esecuzione di codice PHP: Limitare l’esecuzione di codice PHP solo alle directory necessarie.
- Monitorare attivamente i log: Monitorare attivamente i log di sistema e di applicazione per rilevare e rispondere rapidamente a qualsiasi attività sospetta.
- Eseguire regolarmente test di penetrazione: Eseguire test di penetrazione regolari per identificare e correggere eventuali vulnerabilità di sicurezza.
La vulnerabilità RCE in PHP sfruttata dal gruppo TellYouThePass ransomware sottolinea l’importanza di mantenere aggiornate le installazioni PHP e di adottare le best practice per la sicurezza. Applicando tempestivamente i patch di sicurezza e seguendo le linee guida di sicurezza consigliate, è possibile mitigare il rischio di compromissione e proteggere le proprie applicazioni e dati da minacce come TellYouThePass.
Fonte: https://cybersecuritynews.com/tellyouthepass-php-rce-flaw/
