TellYouThePass 勒索软件活动利用 PHP 漏洞

据观察，攻击者利用 PHP 中一个严重的远程执行漏洞来破坏服务器并部署恶意软件，这是 TellYouThePass 勒索软件活动的一部分。

Imperva Threat Research在 6 月 10 日的一篇博客文章中表示，他们发现攻击者早在 6 月 8 日就利用了高严重性 PHP 漏洞CVE-2024-4577，这距离 PHP 维护人员发布补丁仅过去了一两天。

PHP 是一种免费的开源服务器端脚本语言，用于创建动态网页。它为 75% 以上涉及服务器端编程的网站提供支持。

由于许多类型的企业依赖 PHP 安装来运行其网站，并且攻击者一旦进入就可以轻松横向移动，因此 Imperva 研究人员表示安全团队应立即修补。

TellYouThePass 勒索软件自 2019 年以来一直活跃，针对 Windows 和 Linux 系统发起攻击，攻击企业和个人。它最出名的是利用CVE-2021-44228（Apache Log4j漏洞），也被发现使用CVE-2023-46604。

Keeper Security 联合创始人兼首席执行官 Darren Guccione 解释说，大多数安全团队都非常清楚，网络犯罪分子会密切监视公开披露和概念验证发布，以便迅速采取行动应对任何他们可以轻松利用的漏洞。他继续说道，网络犯罪分子的目标是通过未打补丁的 PHP 安装（存在 CVE-2024-4577 等漏洞）来获取对系统的未经授权的访问。

“一旦进入网络，他们就会在网络中横向移动，以入侵其他系统并找到有价值的数据，”Guccione 说道。“为了保护自己免受 TellYouThePass 勒索软件等攻击，安全团队必须在新安全更新发布后立即应用，以最大限度地减少攻击者的机会。”

ColorTokens 副总裁兼首席信息安全官顾问 Agnidipta Sarkar 补充说，理论上来说，这是一项简单的工作：只需应用补丁即可。虽然许多企业都会这样做，但 Sarkar 表示，这有一个问题：PHP 是最流行的服务器端脚本语言之一，用于为复杂应用程序创建动态网页。实时部署基于 PHP 的应用程序的企业，尤其是那些不太注重安全的企业，将容易受到攻击。

Sarkar 表示：“特别是那些可能没有计划在临时环境中快速修补 PHP 漏洞的人，他表示团队需要考虑采用微分段方法。