Ny PHP sårbarhet utsätter Windows servrar för fjärrkodexekvering

 

Ny PHP sårbarhet utsätter Windows servrar för fjärrkodexekvering

Detaljer har dykt upp om ett nytt kritiskt säkerhetsbrist som påverkar PHP som kan utnyttjas för att få fjärrkörning av kod under vissa omständigheter.

Sårbarheten, spårad som CVE-2024-4577, har beskrivits som en CGI argumentinjektion sårbarhet som påverkar alla versioner av PHP installerade på Windows operativsystemet.

Enligt DEVCOREs säkerhetsforskare gör bristen det möjligt att kringgå skydd som införts för ett annat säkerhetsfel, CVE-2012-1823.

"Medan dom implementerade PHP märkte teamet inte funktionen Best-Fit med kodningskonvertering i Windows operativsystemet", säger säkerhetsforskaren Orange Tsai.

"Detta förbiseende tillåter oautentiserade angripare att kringgå det tidigare skyddet av CVE-2012-1823 med specifika teckensekvenser. Godtycklig kod kan exekveras på fjärranslutna PHP servrar genom argumentinjektions attacken."

Efter avslöjandet den 7 maj 2024 har en korrigering för sårbarheten gjorts tillgänglig i PHP versionerna 8.3.8, 8.2.20 och 8.1.29.

DEVCORE har varnat för att alla XAMPP installationer på Windows är sårbara som standard när de är konfigurerade för att använda lokalerna för traditionell kinesiska, förenklad kinesiska eller japanska.

Det taiwanesiska företaget rekommenderar också att administratörer går bort från det föråldrade PHP CGI helt och hållet och väljer en säkrare lösning som Mod-PHP, FastCGI eller PHP-FPM.

"Den här sårbarheten är otroligt enkel, men det är också det som gör den intressant", sa Tsai. "Vem skulle ha trott att en patch, som har granskats och visat sig vara säker under de senaste 12 åren, kunde kringgås på grund av en mindre Windows funktion?"

Shadowserver Foundation, i ett inlägg som delas på X, säger att de redan har upptäckt exploateringsförsök som involverar felet mot sina honeypot servrar inom 24 timmar efter offentliggörandet.

watchTowr Labs sa att det kunde skapa en exploatering för CVE-2024-4577 och uppnå fjärrkörning av kod, vilket gör det absolut nödvändigt att användarna rör sig snabbt för att applicera de senaste patcharna.

"En otäck bugg med en mycket enkel exploatering," säger säkerhetsforskaren Aliz Hammond.

"Dom som kör i en påverkad konfiguration under en av de drabbade lokalerna – kinesiska (förenklad eller traditionell) eller japanska – uppmanas att göra detta så snabbt som humant möjligt, eftersom buggen har stor chans att exploateras i massa pga. den låga exploateringskomplexiteten."