Af Eskil Sørensen, 11/06/24
Der er fundet en ny kritisk sikkerhedsfejl, der påvirker PHP, som vil kunne udnyttes til at afvikle kode fra ”remote” under visse omstændigheder.
Det skriver The Hacker News.
Sårbarheden har id’et CVE-2024-4577 og en CVSS-score på 9,8. Den er beskrevet som en ”CGI argument injection”-sårbarhed, der påvirker alle versioner af PHP installeret på Windows-operativsystemet.
Gammel fejl
Ifølge en sikkerhedsresearcher ved DEVCORE gør fejlen det muligt at omgå beskyttelsesforanstaltninger, der ellers er udviklet til håndtering af en anden sikkerhedsfejl, CVE-2012-1823. Det kan ske ved hjælp af specifikke tegnsekvenser. Dermed kan der afvikles vilkårlig kode på eksterne PHP-servere og muligvis også andre enheder i netværkene. Der er altså tale om en 12 år gammel rettelse af en sikkerhedsfejl, der nu anses for at være utilstrækkelig i kraft af den anden, nyfundne sårbarhed.
Der er offentliggjort en PoC (Proof of Concept) på sårbarheden, og det meldes, at ondsindede aktører allerede er ved at udnytte sårbarheden til angreb på sårbare systemer. Sårbarheden er dog foreløbig kun observeret på Windows platforme.
Rettelse af sårbarheden blevet gjort tilgængelig i PHP-versionerne 8.3.8, 8.2.20 og 8.1.29.
Det anbefales, at administratorer går væk fra det forældede PHP CGI og vælger en mere sikker løsning såsom Mod-PHP, FastCGI eller PHP-FPM.
Ifølge The Hacker News er watchTowr Labs citeret for at opfordre administratorer til at gøre det så hurtigt som muligt, da fejlen har en stor chance for at blive udnyttet pga. den lave udnyttelseskompleksitet.
Links:
https://thehackernews.com/2024/06/new-php-vulnerability-exposes-windows....
https://labs.watchtowr.com/no-way-php-strikes-again-cve-2024-4577/
https://blog.orange.tw/2024/06/cve-2024-4577-yet-another-php-rce.html
https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-ar...
https://www.bleepingcomputer.com/news/security/php-fixes-critical-rce-fl...
https://www.bankinfosecurity.com/critical-php-vulnerability-threatens-wi...
https://securityaffairs.com/164302/breaking-news/php-critical-rce.html