صور جيتي
قال باحثون أمنيون إن مجرمي برامج الفدية تمكنوا بسرعة من استغلال ثغرة أمنية سهلة الاستغلال في لغة برمجة PHP التي تنفذ تعليمات برمجية ضارة على خوادم الويب.
اعتبارًا من يوم الخميس، كشفت عمليات فحص الإنترنت التي أجرتها شركة الأمن Censys عن 1000 خادم مصاب بسلالة برامج الفدية المعروفة باسم TellYouThePass، بانخفاض عن 1800 خادم تم اكتشافها يوم الاثنين. لم تعد الخوادم، الموجودة بشكل أساسي في الصين، تعرض محتواها المعتاد؛ وبدلاً من ذلك، يقوم العديد منهم بإدراج دليل ملفات الموقع، والذي يوضح أن جميع الملفات قد تم منحها امتدادًا .locked، مما يشير إلى أنه تم تشفيرها. تتطلب مذكرة الفدية المصاحبة ما يقرب من 6500 دولار مقابل مفتاح فك التشفير.
تكبير / إخراج خوادم PHP المصابة ببرنامج الفدية TellYouThePass.
سينسيس
تكبير / مذكرة الفدية المصاحبة.
سينسيس
عندما تدق الفرصة
الثغرة الأمنية، التي تم تتبعها بالرقم CVE-2024-4577 وتحمل تصنيف خطورة 9.8 من 10، تنبع من أخطاء في الطريقة التي تقوم بها PHP بتحويل أحرف Unicode إلى ASCII. تتيح إحدى الميزات المضمنة في Windows والمعروفة باسم Best Fit للمهاجمين استخدام تقنية تُعرف باسم حقن الوسيطات لتحويل المدخلات التي يوفرها المستخدم إلى أحرف تمرر أوامر ضارة إلى تطبيق PHP الرئيسي. تسمح عمليات الاستغلال للمهاجمين بتجاوز CVE-2012-1823، وهي ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية تم تصحيحها في PHP في عام 2012.
يؤثر CVE-2024-4577 على PHP فقط عند تشغيله في الوضع المعروف باسم CGI، حيث يقوم خادم الويب بتحليل طلبات HTTP وتمريرها إلى برنامج PHP النصي للمعالجة. حتى عندما لا يتم ضبط PHP على وضع CGI، قد تظل الثغرة الأمنية قابلة للاستغلال عندما تكون ملفات PHP التنفيذية مثل php.exe وphp-cgi.exe موجودة في أدلة يمكن الوصول إليها بواسطة خادم الويب. هذا التكوين نادر للغاية، باستثناء منصة XAMPP، التي تستخدمه افتراضيًا. يبدو أن هناك متطلبًا إضافيًا وهو أن لغة Windows – المستخدمة لتخصيص نظام التشغيل للغة المحلية للمستخدم – يجب ضبطها إما على اللغة الصينية أو اليابانية.
إعلان
تم نشر الثغرة الأمنية الخطيرة في 6 يونيو، بالإضافة إلى تصحيح أمني. وفي غضون 24 ساعة، كانت الجهات الفاعلة في مجال التهديد تستغلها لتثبيت TellYouThePass، حسبما أفاد باحثون من شركة Imperva الأمنية يوم الاثنين. نفذت عمليات الاستغلال تعليمات برمجية تستخدم ملف mshta.exe Windows الثنائي لتشغيل ملف تطبيق HTML مستضاف على خادم يتحكم فيه المهاجم. يشير استخدام الملف الثنائي إلى نهج يُعرف بالعيش خارج الأرض، حيث يستخدم المهاجمون وظائف وأدوات نظام التشغيل الأصلي في محاولة للاندماج مع النشاط العادي غير الضار.
في منشور نُشر يوم الجمعة، قال باحثو Censys إن الاستغلال من قبل عصابة TellYouThePass بدأ في 7 يونيو وعكس الحوادث الماضية التي قامت بمسح جماعي للإنترنت بشكل انتهازي بحثًا عن الأنظمة الضعيفة بعد ثغرة أمنية كبيرة واستهداف أي خادم يمكن الوصول إليه بشكل عشوائي. قال باحثو Censys في رسالة بالبريد الإلكتروني إن الغالبية العظمى من الخوادم المصابة لها عناوين IP محددة جغرافيًا للصين أو تايوان أو هونج كونج أو اليابان، ومن المحتمل أن يكون ذلك نابعًا من حقيقة أن اللغات الصينية واليابانية هي الوحيدة التي تأكد أنها معرضة للخطر.
منذ ذلك الحين، تذبذب عدد المواقع المصابة – التي تم اكتشافها من خلال مراقبة استجابة HTTP العامة التي تخدم قائمة دليل مفتوح تعرض نظام ملفات الخادم، جنبًا إلى جنب مع اتفاقية تسمية الملفات المميزة لمذكرة الفدية – من مستوى منخفض بلغ 670 في يونيو 8 إلى أعلى مستوى له عند 1800 يوم الاثنين.
تكبير / تتبع الصور والتسويات اليومية لخوادم PHP وتحديد موقعها الجغرافي.
سينسيس
قال باحثو Censys في رسالة بالبريد الإلكتروني إنهم غير متأكدين تمامًا من سبب تغير الأرقام.
وكتبوا: “من وجهة نظرنا، يبدو أن العديد من المضيفين المخترقين يظلون متصلين بالإنترنت، لكن المنفذ الذي يقوم بتشغيل خدمة PHP-CGI أو XAMPP يتوقف عن الاستجابة – ومن هنا انخفض عدد الإصابات المكتشفة”. “هناك نقطة أخرى يجب مراعاتها وهي أنه لا توجد حاليًا أي مدفوعات فدية ملحوظة لعنوان Bitcoin الوحيد المدرج في ملاحظات الفدية (المصدر). واستنادًا إلى هذه الحقائق، فإن حدسنا هو أن هذا على الأرجح نتيجة لإيقاف تشغيل هذه الخدمات أو توقفها عن العمل بطريقة أخرى.
إعلان
هل تم استخدام XAMPP في الإنتاج حقًا؟
ومضى الباحثون ليقولوا إن ما يقرب من نصف الاختراقات التي تمت ملاحظتها تظهر علامات واضحة على تشغيل XAMPP، ولكن من المحتمل أن يكون هذا التقدير أقل من العدد نظرًا لأنه لا تظهر جميع الخدمات صراحةً البرامج التي تستخدمها.
وقال الباحثون: “بالنظر إلى أن XAMPP ضعيف بشكل افتراضي، فمن المعقول تخمين أن معظم الأنظمة المصابة تقوم بتشغيل XAMPP”. يسرد استعلام Censys هذا الإصابات التي تؤثر بشكل واضح على النظام الأساسي. الباحثون ليسوا على علم بأي منصات محددة بخلاف XAMPP التي تم اختراقها.
لقد فاجأ اكتشاف خوادم XAMPP المخترقة ويل دورمان، أحد كبار محللي الثغرات الأمنية في شركة Analygence الأمنية، لأن مشرفي XAMPP يقولون صراحةً إن برامجهم غير مناسبة لأنظمة الإنتاج.
وكتب في مقابلة عبر الإنترنت: “على الأشخاص الذين يختارون تشغيل برامج غير مخصصة للإنتاج أن يتعاملوا مع عواقب هذا القرار”.
على الرغم من أن XAMPP هو النظام الأساسي الوحيد الذي تم التأكد من تعرضه للخطر، إلا أنه يجب على الأشخاص الذين يستخدمون PHP على أي نظام Windows تثبيت التحديث في أقرب وقت ممكن. يوفر منشور Imperva المرتبط أعلاه عناوين IP وأسماء الملفات وتجزئة الملفات التي يمكن للمسؤولين استخدامها لتحديد ما إذا كانوا مستهدفين في الهجمات.
