Un defect critic de securitate în PHP, identificat prin CVE-2024-4577, permite executarea de cod de la distanță pe serverele vulnerabile. Acesta a început să fie exploatat la scară largă, conform unei avertizări emise de GreyNoise, o companie care activează în domeniul securității și amenințărilor cibernetice.
TLDR:
- Vulnerabilitate critică în PHP, CVE-2024-4577, cu un scor CVSS de 9.8.
- Afectează serverele Windows care folosesc Apache și PHP-CGI.
- Exploatarea permite executarea de cod arbitrar prin manipularea conversiei caracterelor.
- Se observă exploatare masivă în mai multe țări, inclusiv SUA, UK, și Germania.
- Utilizatorii sunt sfătuiți să actualizeze imediat la cele mai recente versiuni de PHP.
Introducere în vulnerabilitate
O vulnerabilitate critică denumită CVE-2024-4577 a fost dezvăluită public în iunie 2024, afectând serverele care rulează PHP în medii Windows. Acest defect permite atacatorilor să execute cod de la distanță prin intermediul serverelor vulnerabile.
Detalierea exploatării
Exploatarea CVE-2024-4577 devine posibilă din cauza unei omisiuni în comportamentul de „Best-Fit” al PHP pe Windows, care nu a ținut cont de conversia corectă a caracterelor Unicode în caractere ANSI. Ca urmare, secvențele de caractere introduse de atacatori se pot transforma în opțiuni PHP care sunt apoi executate de modulul php-cgi.
Impactul global
De la dezvăluirea sa, vulnerabilitatea CVE-2024-4577 a fost raportată ca fiind deja exploatată de un grup de ransomware la doar două zile după anunțul public. Începând cu ianuarie 2025, a fost menționată o campanie malițioasă ce a vizat organizații din Japonia, extinzându-se rapid global în țări precum SUA, UK, Germania și altele.
Cum să vă protejați
Este crucial ca utilizatorii să se asigure că serverele lor PHP sunt actualizate la cele mai recente versiuni disponibile — 8.1.29, 8.2.20 și 8.3.8 — pentru a evita exploatarea. Totodată, monitorizarea constantă a serverelor pentru comportamente neobișnuite și aplicarea de măsuri suplimentare de securitate, precum firewall-uri, pot oferi un grad suplimentar de protecție împotriva atacurilor similare. Specialiștii avertizează că ignorarea unei astfel de actualizări poate duce la compromiterea întregii infrastructuri IT.
Sursa articolului:
https://www.securityweek.com/mass-exploitation-of-critical-php-vulnerability-begins/
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
