Уязвимость CVE-2024-4577 была опубликована 6 июня. За двое суток злоумышленники из группировки TellYouThePass просканировали и зашифровали 2800 серверов. Такую информацию опубликовал исследователь информационной безопасности издательства arstechnica.com.
Сопроводительное письмо, которое злоумышленники оставили на серверах, гласит о выкупе в размере 6,5 тысяч долларов за ключ к расшифровке.
Злоумышленники используют технику Argument Injectio для запуска произвольного кода на удаленных PHP-серверах.
CVE-2024-4577 влияет на PHP только тогда, когда он работает в режиме, известном как CGI, в котором веб-сервер анализирует HTTP-запросы и передает их PHP-скрипту для обработки. Однако даже когда PHP не установлен в CGI-режиме, уязвимость все еще может использоваться, когда исполняемые файлы PHP, такие как php.exe и php-cgi.exe, находятся в каталогах, доступных веб-серверу. Эта конфигурация устанавливается по умолчанию в XAMPP для Windows, что делает платформу уязвимой, если она не была изменена.
Уязвимость очень схожа с CVE-2012-1823, но особенность преобразования кодирования в ОС Windows, позволяет неавторизованным пользователям обойти защиту по специфическим последовательным символам.
Рекомендуем проверить версию PHP на своих серверах и установить патчи безопасности.