Rezumat
O vulnerabilitate recent descoperită în PHP pe serverele Windows, urmărită ca CVE-2024-4577, poate duce la executarea de cod de la distanță. Acest defect ocolește protecțiile de la o vulnerabilitate anterioară (CVE-2012-1823) și afectează versiunile PHP atunci când sunt configurate cu anumite locale. Este foarte recomandată aplicarea imediată a patch-urilor și renunțarea la configurațiile depășite.
TLDR
-
Vulnerabilitate: CVE-2024-4577 în PHP pe Windows.
-
Impact: Execuție de cod de la distanță.
-
Versiuni afectate: Toate versiunile PHP pe Windows cu locale specifice.
-
Soluție: Actualizați la versiunile PHP 8.3.8, 8.2.20 sau 8.1.29 și luați în considerare configurații mai sigure, cum ar fi Mod-PHP, FastCGI sau PHP-FPM.
-
Urgență: Ridicată, din cauza exploatării active.
Noua vulnerabilitate PHP expune serverele Windows la executarea de cod de la distanță
Prezentare generală
Au apărut detalii despre un nou defect de securitate critic cu impact asupra PHP, care ar putea fi exploatat pentru a obține executarea de cod de la distanță în anumite circumstanțe. Vulnerabilitatea, urmărită ca CVE-2024-4577, a fost descrisă ca o vulnerabilitate de injecție a argumentului CGI care afectează toate versiunile de PHP instalate pe sistemul de operare Windows. Acest defect ocolește protecțiile instituite pentru un alt defect de securitate, CVE-2012-1823.
Detalii tehnice
Potrivit cercetătorului în domeniul securității de la DEVCORE, Orange Tsai, vulnerabilitatea se datorează unei inadvertențe în caracteristica Best-Fit de conversie a codificării din cadrul sistemului de operare Windows. Acest lucru permite atacatorilor neautentificați să ocolească protecția anterioară a CVE-2012-1823 folosind secvențe de caractere specifice, permițând executarea arbitrară a codului pe servere PHP de la distanță.
Dezvăluiri și remedieri responsabile
În urma dezvăluirii responsabile din 7 mai 2024, a fost pusă la dispoziție o corecție pentru vulnerabilitate în versiunile PHP 8.3.8, 8.2.20 și 8.1.29. DEVCORE a avertizat că toate instalațiile XAMPP pe Windows sunt vulnerabile în mod implicit atunci când sunt configurate pentru a utiliza localele pentru chineză tradițională, chineză simplificată sau japoneză.
Recomandări
Compania taiwaneză recomandă administratorilor să renunțe complet la învechitul PHP CGI și să opteze pentru soluții mai sigure, cum ar fi Mod-PHP, FastCGI sau PHP-FPM. Această vulnerabilitate, deși simplă, subliniază importanța actualizărilor regulate și a practicilor de securitate vigilente.
Încercări de exploatare
Fundația Shadowserver a raportat detectarea unor încercări de exploatare care implică acest defect împotriva serverelor sale honeypot în termen de 24 de ore de la dezvăluirea publică. watchTowr Labs a confirmat fezabilitatea exploatării CVE-2024-4577 pentru a obține executarea de cod de la distanță, subliniind urgența aplicării celor mai recente patch-uri.
Concluzie
“Un bug neplăcut cu o exploatare foarte simplă”, a declarat cercetătorul în domeniul securității Aliz Hammond. “Cei care rulează într-o configurație afectată în una dintre locațiile afectate - chineză (simplificată, sau tradițională) sau japoneză - sunt îndemnați să aplice patch-urile cât mai repede posibil. Bug-ul are o șansă mare de a fi exploatat în masă datorită complexității sale reduse.”
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
%20descoperit%C4%83:%20Amenin%C8%9B%C4%83%20serverele%20Windows%20cu%20executare%20de%20cod%20la%20distan%C8%9B%C4%83){kind=link}