Ny PHP sårbarhet utsätter Windows servrar för fjärrkodexekvering

 

Ny PHP sårbarhet utsätter Windows servrar för fjärrkodexekvering

Detaljer har dykt upp om ett nytt kritiskt säkerhetsbrist som påverkar PHP som kan utnyttjas för att få fjärrkörning av kod under vissa omständigheter.

Sårbarheten, spårad som CVE-2024-4577, har beskrivits som en CGI argumentinjektion sårbarhet som påverkar alla versioner av PHP installerade på Windows operativsystemet.

Enligt DEVCOREs säkerhetsforskare gör bristen det möjligt att kringgå skydd som införts för ett annat säkerhetsfel, CVE-2012-1823.

"Medan dom implementerade PHP märkte teamet inte funktionen Best-Fit med kodningskonvertering i Windows operativsystemet", säger säkerhetsforskaren Orange Tsai.

"Detta förbiseende tillåter oautentiserade angripare att kringgå det tidigare skyddet av CVE-2012-1823 med specifika teckensekvenser. Godtycklig kod kan exekveras på fjärranslutna PHP servrar genom argumentinjektions attacken."

Efter avslöjandet den 7 maj 2024 har en korrigering för sårbarheten gjorts tillgänglig i PHP versionerna 8.3.8, 8.2.20 och 8.1.29.

DEVCORE har varnat för att alla XAMPP installationer på Windows är sårbara som standard när de är konfigurerade för att använda lokalerna för traditionell kinesiska, förenklad kinesiska eller japanska.

Det taiwanesiska företaget rekommenderar också att administratörer går bort från det föråldrade PHP CGI helt och hållet och väljer en säkrare lösning som Mod-PHP, FastCGI eller PHP-FPM.

"Den här sårbarheten är otroligt enkel, men det är också det som gör den intressant", sa Tsai. "Vem skulle ha trott att en patch, som har granskats och visat sig vara säker under de senaste 12 åren, kunde kringgås på grund av en mindre Windows funktion?"

Shadowserver Foundation, i ett inlägg som delas på X, säger att de redan har upptäckt exploateringsförsök som involverar felet mot sina honeypot servrar inom 24 timmar efter offentliggörandet.

watchTowr Labs sa att det kunde skapa en exploatering för CVE-2024-4577 och uppnå fjärrkörning av kod, vilket gör det absolut nödvändigt att användarna rör sig snabbt för att applicera de senaste patcharna.

"En otäck bugg med en mycket enkel exploatering," säger säkerhetsforskaren Aliz Hammond.

"Dom som kör i en påverkad konfiguration under en av de drabbade lokalerna – kinesiska (förenklad eller traditionell) eller japanska – uppmanas att göra detta så snabbt som humant möjligt, eftersom buggen har stor chans att exploateras i massa pga. den låga exploateringskomplexiteten."

Oracle WebLogic Server OS Command Injection Flaw Under Aktiv attack

 

U.S.C. Cybersecurity and Infrastructure Security Agency (CISA) lade på torsdagen till en säkerhetsbrist som påverkar Oracle WebLogic Server till katalogen Known Exploited Vulnerabilities (KEV), med hänvisning till bevis på aktivt utnyttjande.

Spåras som CVE-2017-3506 (CVSS poäng: 7,4), problemet gäller en sårbarhet för kommandoinjektion av operativsystem (OS) som kan utnyttjas för att få obehörig åtkomst till mottagliga servrar och ta fullständig kontroll.

"Oracle WebLogic Server, en produkt inom Fusion Middleware sviten, innehåller en sårbarhet för OS kommandoinjektion som gör att en angripare kan exekvera godtycklig kod via en specialgjord HTTP förfrågan som inkluderar ett skadligt XML dokument," säger CISA.

Även om byrån inte avslöjade arten av attacker som utnyttjar sårbarheten, har den Kina baserade krypto jackningsgruppen känd som 8220 Gang (alias Water Sigbin) en historia av att utnyttja den sedan början av förra året för att samordna oparpade enheter till en crypto-mining botnet.

Enligt en nyligen publicerad rapport publicerad av Trend Micro har 8220 Gang observerats som weaponizing flaws i Oracle WebLogic servern (CVE-2017-3506 och CVE-2023-21839) för att starta en cryptocurrency miner fillöst i minnet med hjälp av ett skal eller PowerShell skript beroende på vilket operativsystem som det är inriktat på.

"Gänget använde fördunklingstekniker, såsom hexadecimal kodning av URL:er och användning av HTTP över port 443, vilket möjliggör smyg leverans av nyttolast," säger säkerhetsforskaren Sunil Bharti. "PowerShell skriptet och den resulterande batchfilen involverade komplex kodning, med användning av miljövariabler för att dölja skadlig kod i till synes godartade skriptkomponenter."

I ljuset av det aktiva utnyttjandet av CVE-2017-3506, rekommenderas federala myndigheter att tillämpa de senaste korrigeringarna senast den 24 juni 2024, för att skydda sina nätverk mot potentiella hot.