據觀察，攻擊者利用PHP中一個嚴重的遠端執行漏洞來破壞伺服器並部署惡意軟體，這是TellYouThePass勒索軟體活動的一部分。

Imperva Threat Research在6月10日的一篇文章中表示，發現攻擊者早在6月8日就利用了高嚴重性PHP漏洞CVE-2024-4577，這距離PHP維護人員發佈漏洞修補程式僅過去了一兩天。

PHP是一種免費的開源伺服器端腳本語言，用於創建動態網頁。它為75%以上涉及伺服器端程式設計的網站提供支援。

由於許多類型的企業依賴安裝PHP來運行其網站，並且攻擊者一旦進入系統後就可以輕鬆橫向移動，因此Imperva研究人員表示資訊安全團隊應立即修補，避免針對企業和個Windows和Linux系統發起攻擊。它最常利用的是CVE-2021- 44228（Apache Log4j漏洞），也被發現使用 CVE-2023-46604。 

Keeper Security 聯合創始人兼首席執行官 Darren Guccione 解釋說，大多數資訊安全團隊都非常清楚，網路犯罪分子會密切監視公開披露和概念驗證發佈，以便迅速採取行動應對任何他們可以輕鬆利用的漏洞。並繼續說道，網路犯罪分子的目標是通過未安裝PHP的修補漏洞（存在CVE- 2024-4577等漏洞）來獲取對系統的未經授權的存取。

Guccione 說道，「網路犯罪分子一旦進入網路，就會在網路中橫向移動，以入侵其他系統並找到有價值的資訊」。「為了保護自己免受 TellYouThePass 勒索軟體等攻擊，資訊安全團隊必須在新漏洞修補更新發佈後立即採取修補，並減少攻擊者最大限度的攻擊的機會。」

ColorTokens 副總裁兼首席資訊安全官顧問 Agnidipta Sarkar補充說明，理論上來說，這是一項簡單的工作：只需應用漏洞修補即可。雖然許多企業都會如此做，但Sarkar表示，還是有一個問題：PHP是現今市面上最流行的伺服器端腳本語言之一，應用於為複雜應用程式創建動態網頁。基於PHP應用程式即時部署的企業，尤其是那些不太注重資訊安全的企業，將最容易受到網路犯罪分子攻擊。 

Sarkar 表示：「特別是那些可能沒有計劃在臨時環境中快速修補PHP漏洞的企業及個人，他表示資訊安全團隊需要考慮採用微切分（Micro-segmentation）方法。

微切分（Micro-segmentation）是一種精細分組的安全隔離技術，通過將資料中心業務單元按照一定規則進行分組，然後在分組間部署策略來實現流量控制。傳統資料中心是基於VLAN/VNI進行子網劃分，粒度比較粗，而微切分可以提供更細粒度、更靈活的分組方式，例如基於IP、MAC、虛擬機名等。

本文轉載自:https://www.scmagazine.com/news/php-flaw-exploited-by-tellyouthepass-ransomware-campaign