Getty Images Los delincuentes de ransomware han aprovechado rápidamente una vulnerabilidad fácil de explotar en el lenguaje de programación PHP que ejecuta código malicioso en servidores web, dijeron investigadores de seguridad. Hasta el jueves, los análisis de Internet realizados por la empresa de seguridad Censys habían detectado 1.000 servidores infectados por una cepa de ransomware conocida como TellYouThePass, frente a los 1.800 detectados el lunes. Los servidores, ubicados principalmente en China, ya no muestran su contenido habitual; en cambio, muchos enumeran el directorio de archivos del sitio, lo que muestra que a todos los archivos se les ha asignado una extensión .locked, lo que indica que han sido cifrados. Una nota de rescate adjunta exige aproximadamente 6.500 dólares a cambio de la clave de descifrado. Ampliar / La salida de los servidores PHP infectados por el ransomware TellYouThePass.Censys Ampliar / La nota de rescate adjunta.Censys Cuando llega la oportunidad La vulnerabilidad, rastreada como CVE-2024-4577 y con una clasificación de gravedad de 9,8 sobre 10, se debe a errores en el forma en que PHP convierte caracteres Unicode en ASCII. Una característica integrada en Windows conocida como Best Fit permite a los atacantes utilizar una técnica conocida como inyección de argumentos para convertir la entrada proporcionada por el usuario en caracteres que pasan comandos maliciosos a la aplicación PHP principal. Los exploits permiten a los atacantes eludir CVE-2012-1823, una vulnerabilidad crítica de ejecución de código parcheada en PHP en 2012. CVE-2024-4577 afecta a PHP solo cuando se ejecuta en un modo conocido como CGI, en el que un servidor web analiza solicitudes HTTP y las pasa. a un script PHP para su procesamiento. Sin embargo, incluso cuando PHP no está configurado en modo CGI, la vulnerabilidad aún puede ser explotable cuando los ejecutables de PHP como php.exe y php-cgi.exe se encuentran en directorios a los que puede acceder el servidor web. Esta configuración es extremadamente rara, a excepción de la plataforma XAMPP, que la utiliza de forma predeterminada. Un requisito adicional parece ser que la configuración regional de Windows, utilizada para personalizar el sistema operativo según el idioma local del usuario, debe estar configurada en chino o japonés. Anuncio La vulnerabilidad crítica se publicó el 6 de junio, junto con un parche de seguridad. En 24 horas, los actores de amenazas lo estaban explotando para instalar TellYouThePass, informaron el lunes investigadores de la firma de seguridad Imperva. Los exploits ejecutaban código que utilizaba el binario de Windows mshta.exe para ejecutar un archivo de aplicación HTML alojado en un servidor controlado por un atacante. El uso del binario indicó un enfoque conocido como vivir de la tierra, en el que los atacantes utilizan funcionalidades y herramientas nativas del sistema operativo en un intento de mezclarse con la actividad normal y no maliciosa. En una publicación publicada el viernes, los investigadores de Censys dijeron que la explotación por parte de la pandilla TellYouThePass comenzó el 7 de junio y reflejó incidentes pasados ​​que de manera oportunista escanean masivamente Internet en busca de sistemas vulnerables luego de una vulnerabilidad de alto perfil y apuntan indiscriminadamente a cualquier servidor accesible. La gran mayoría de los servidores infectados tienen direcciones IP geolocalizadas en China, Taiwán, Hong Kong o Japón, probablemente debido al hecho de que las ubicaciones chinas y japonesas son las únicas que se ha confirmado que son vulnerables, dijeron los investigadores de Censys en un correo electrónico. Desde entonces, el número de sitios infectados (detectados al observar la respuesta HTTP pública que ofrece un listado de directorio abierto que muestra el sistema de archivos del servidor, junto con la convención distintiva de nomenclatura de archivos de la nota de rescate) ha fluctuado desde un mínimo de 670 en junio. 8 a un máximo de 1.800 el lunes. Ampliar / Imagen que rastrea los compromisos diarios de los servidores PHP y su geolocalización. Censys Los investigadores de Censys dijeron en un correo electrónico que no están del todo seguros de qué está causando los números cambiantes. «Desde nuestra perspectiva, muchos de los hosts comprometidos parecen permanecer en línea, pero el puerto que ejecuta el servicio PHP-CGI o XAMPP deja de responder, de ahí la caída en las infecciones detectadas», escribieron. “Otro punto a considerar es que actualmente no se observan pagos de rescate a la única dirección de Bitcoin que figura en las notas de rescate (fuente). Con base en estos hechos, nuestra intuición es que esto probablemente sea el resultado de que esos servicios se desmantelen o se desconecten de alguna otra manera”. Anuncio XAMPP utilizado en producción, ¿en serio? Los investigadores continuaron diciendo que aproximadamente la mitad de los compromisos observados muestran signos claros de ejecutar XAMPP, pero es probable que esa estimación sea un recuento insuficiente, ya que no todos los servicios muestran explícitamente qué software utilizan. «Dado que XAMPP es vulnerable por defecto, es razonable suponer que la mayoría de los sistemas infectados ejecutan XAMPP», dijeron los investigadores. Esta consulta de Censys enumera las infecciones que afectan explícitamente a la plataforma. Los investigadores no conocen ninguna plataforma específica aparte de XAMPP que haya sido comprometida. El descubrimiento de servidores XAMPP comprometidos tomó por sorpresa a Will Dormann, analista senior de vulnerabilidades de la firma de seguridad Analygence, porque los mantenedores de XAMPP dicen explícitamente que su software no es adecuado para sistemas de producción. «Las personas que eligen ejecutar software que no está destinado a producción tienen que lidiar con las consecuencias de esa decisión», escribió en una entrevista en línea. Si bien XAMPP es la única plataforma que se ha confirmado que es vulnerable, las personas que ejecutan PHP en cualquier sistema Windows deben instalar la actualización lo antes posible. La publicación de Imperva vinculada anteriormente proporciona direcciones IP, nombres de archivos y hashes de archivos que los administradores pueden usar para determinar si han sido el objetivo de los ataques.