TellYouThePass勒索软件活动利用 PHP 漏洞

关键词

据观察，攻击者利用 PHP 中的一个关键远程执行漏洞入侵服务器并部署恶意软件，该恶意软件是 TellYouThePass 勒索软件活动的一部分。

Imperva Threat Research 公司在6月10日的一篇博文中表示，公司于6月8日，即PHP维护者发布补丁后的一两天，就发现了攻击者利用高严重性PHP漏洞（CVE-2024-4577）的情况。

PHP 是一种免费、开源的服务器端脚本语言，用于创建动态网页。超过 75% 的网站都使用 PHP 进行服务器端编程。

Imperva 的研究人员表示，由于许多类型的企业都依赖 PHP 安装来运行网站，而攻击者一旦入侵就很容易横向移动，因此安全团队应立即打补丁。

自2019年以来，TellYouThePass勒索软件一直很活跃，频繁针对Windows和Linux系统的企业和个人发动攻击。该勒索软件因利用 Apache Log4j 漏洞 CVE-2021-44228 而闻名，也有报道称它利用了 CVE-2023-46604。

Keeper Security 公司联合创始人兼首席执行官 Darren Guccione 解释道，大多数安全团队都非常清楚，网络犯罪分子会密切关注公开披露的信息和概念验证版本，以便迅速利用任何他们可以轻松攻击的漏洞。网络犯罪分子的目标是利用未修补的 PHP 安装（存在CVE-2024-4577等漏洞），未经授权地访问系统。

“该勒索软件一旦进入系统，就会利用横向移动的方式，侵入其他系统并寻找有价值的数据，”Guccione 说。“为了防御 TellYouThePass 勒索软件等漏洞的攻击，安全团队必须在新的安全更新发布后立即应用，以最大限度地减少攻击者的机会窗口。”

ColorTokens 公司副总裁兼 CISO 顾问 Agnidipta Sarkar 补充说，表面来看我们只需打上补丁，但这是有风险的。PHP 是最流行的服务器端脚本语言之一，被用于创建动态网页和复杂的应用程序。一些实时部署了基于 PHP 的应用程序的企业，特别是对安全关注较少、或是没有在临时环境中快速修补PHP漏洞计划的企业，都会受到攻击。