La vulnerabilità colpisce PHP quando viene eseguito in modalità CGI, in cui un server web analizza le richieste HTTP e le passa a uno script PHP. Anche senza modalità CGI, la vulnerabilità può essere sfruttata se gli eseguibili PHP sono accessibili dal server web, particolarmente sulla piattaforma XAMPP, che utilizza questa configurazione per impostazione predefinita. L’attacco richiede anche che la localizzazione di Windows sia impostata su cinese o giapponese.
La vulnerabilità è stata divulgata il 6 giugno e, entro 24 ore, gli attaccanti hanno iniziato a sfruttarla per installare il ransomware TellYouThePass. Gli attaccanti hanno utilizzato il binario mshta.exe di Windows per eseguire file di applicazioni HTML da un server controllato dagli attaccanti, impiegando una tecnica nota come living off the land, che utilizza le funzionalità native del sistema operativo per evitare il rilevamento.
I ricercatori di Censys hanno rilevato fluttuazioni nel numero di server infetti, variando da 670 a 1,800, con la maggior parte delle infezioni localizzate in Cina, Taiwan, Hong Kong o Giappone. La mancanza di pagamenti di riscatto osservati suggerisce che molti server compromessi potrebbero essere stati dismessi o disconnessi. Gli esperti di sicurezza esortano gli amministratori che eseguono PHP su qualsiasi sistema Windows a installare tempestivamente gli ultimi aggiornamenti per prevenire ulteriori sfruttamenti della vulnerabilità.
Source: Arstechnica
Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net o è possibile provarci da soli utilizzando check.website.