Sebuah kelompok ransomware yang dikenal dengan nama TellYouThePass telah mulai mengeksploitasi sebuah kerentanan dalam PHP hanya beberapa hari setelah kerentanan tersebut diungkap kepada publik.
Laporan dari perusahaan keamanan siber Imperva menyebutkan bahwa kerentanan terbaru dalam PHP yang memungkinkan eksekusi kode dari jarak jauh telah dimulai dieksploitasi oleh kelompok ransomware ini. Kerentanan ini, yang disebut sebagai CVE-2024-4577, mempengaruhi server Windows yang menggunakan Apache dan PHP-CGI. Penyerang dapat memanfaatkan konfigurasi yang memungkinkan untuk menyisipkan argumen dan menjalankan kode secara arbitrer.
Masalah inti dari kerentanan ini adalah kurangnya perhitungan yang tepat oleh implementasi PHP terhadap konversi karakter Unicode ke karakter ANSI yang paling sesuai untuk lingkungan Windows. Hal ini memungkinkan penyerang untuk memanipulasi urutan karakter tertentu yang kemudian disalahartikan sebagai opsi PHP oleh modul php-cgi, yang pada akhirnya dieksekusi sebagai perintah ke biner yang sedang berjalan.
Kerentanan CVE-2024-4577 mempengaruhi semua versi PHP di platform Windows, termasuk versi 8.0, 7, dan bahkan versi lama seperti 5 yang sudah tidak lagi didukung. Masalah ini telah diperbaiki oleh PHP minggu lalu melalui rilis versi 8.1.29, 8.2.20, dan 8.3.8.
Imperva mencatat bahwa sekitar dua hari setelah kerentanan ini diumumkan kepada publik dan PHP merilis patch-nya, kelompok ransomware TellYouThePass mulai mengambil tindakan. Mereka mengambil langkah-langkah untuk mengeksploitasi server yang rentan, termasuk dengan mencoba memasang WebShell dan menempatkan ransomware di dalamnya.
Serangan ini melibatkan eksekusi kode PHP yang bebas pada mesin target dan kemudian menggunakan fungsi ‘system’ untuk menjalankan file aplikasi HTML dari server web yang jarak jauh. Ransomware TellYouThePass yang digunakan oleh penyerang ini dikirim sebagai file .NET yang dapat dieksekusi langsung dari memori.
Setelah berhasil dieksekusi, malware ini berkomunikasi dengan server command-and-control (C&C), melakukan pemindaian direktori, menghentikan proses yang sedang berjalan, dan memulai proses enkripsi file dengan ekstensi tertentu.
TellYouThePass telah aktif sejak tahun 2019 dan telah menyerang berbagai bisnis dan individu. Mereka sebelumnya juga memanfaatkan kerentanan dalam Apache Log4j (CVE-2021-44228) dan ActiveMQ (CVE-2023-46604) dalam serangan mereka.
Kesimpulannya, penting bagi para pengguna sistem PHP di platform Windows untuk segera memperbarui perangkat lunak mereka ke versi terbaru yang telah dilengkapi dengan patch keamanan untuk menghindari eksploitasi yang berpotensi merusak dari kelompok ransomware seperti TellYouThePass.




