• 尚無留言

6月6日，PHP發布了新版軟體，修補了由臺灣資安業者戴夫寇爾通報的重大漏洞CVE-2024-4577。這一漏洞被駭客組織TellYouThePass迅速利用，用於攻擊行動，對全球數百萬網站構成威脅。

漏洞背景

CVE-2024-4577是一個遠端程式碼執行（RCE）漏洞，允許攻擊者在未經身份驗證的情況下執行任意程式碼。由於PHP是全球最廣泛使用的伺服器端腳本語言之一，這一漏洞對許多網站的安全構成了重大風險。

攻擊案例

在PHP發布新版本的第二天，Shadowserver基金會發現蜜罐陷阱中出現了漏洞利用的跡象。隨後，資安業者Imperva報告稱，勒索軟體駭客組織TellYouThePass正在利用這一漏洞進行攻擊。他們觀察到駭客成功觸發漏洞後，在受害伺服器上執行PHP程式碼，並通過名為system的功能進行寄生攻擊，利用mshta.exe執行HTML應用程式檔案。

駭客初期在受害主機上植入含有惡意VBScript指令碼的HTML應用程式檔案dd3.hta。該指令碼包含經過Base64編碼的長字串，解碼後生成執行檔，並在記憶體內載入、執行，這個執行檔就是以.NET打造的勒索軟體TellYouThePass。

攻擊行為

一旦勒索軟體啟動，便會向C2伺服器發送HTTP請求，傳送受害主機的系統資訊。為了迴避偵測，駭客將其偽裝成搜尋CSS樣式表資源的請求。最終，該勒索軟體會列出所有資料夾、終止特定的處理程序、生成加密金鑰並加密檔案，並在網站根目錄留下勒索訊息READ_ME10.html。

防範措施

我們強烈建議所有PHP使用者立即更新至最新版本（8.3.8、8.2.20、8.1.29），以防範潛在的攻擊風險。對於尚未更新的系統，請採取緩解措施，確保網站安全。