CVE-2024-4577: миллионы веб-сайтов на PHP в эпицентре опасности
NewsMakerЭксплойт доступен каждому. Лишь обновление до последней версии спасёт веб-экосистему от RCE.
Исследователи безопасности из тайваньской компании DEVCORE обнаружили серьёзную уязвимость, затрагивающую установки PHP на Windows в режиме CGI. Получившая идентификатор CVE-2024-4577 (рейтинг CVSS пока не определён), проблема позволяет злоумышленникам производить подстановку аргументов командной строки, что способно привести к удалённому выполнению кода ( RCE ).
Как сообщают специалисты DEVCORE, проблема «растёт» из другой уязвимости — CVE-2012-1823 , так как свежевыявленный баг позволяет обойти внедрённую от неё защиту с помощью определённых последовательностей символов.
CVE-2024-4577 затрагивает все версии PHP, установленные в операционной системе Windows, а именно:
По мнению экспертов, уязвимость потенциально может затронуть миллионы веб-сайтов и сервисов, работающих на Windows-серверах с PHP в режиме CGI. Тем не менее, на момент написания исследовательской статьи было подтверждено лишь то, что неавторизованный злоумышленник может напрямую выполнить произвольный код на удалённом сервере в следующих локализациях интерфейса: традиционный китайский, упрощенный китайский, японский.
Для экземпляров Windows, работающих в других локализациях, из-за широкого спектра сценариев использования PHP, как сообщают авторы исследования, в настоящее время невозможно полностью перечислить или исключить все возможные сценарии использования.
Администраторам рекомендуется провести самостоятельную комплексную оценку активов, проверить свои сценарии использования и обновить PHP до последней версии для обеспечения безопасности.
Стоит также учитывать, что эксплойт для данной уязвимости уже был разработан и опубликован специалистами из watchTowr Labs , охарактеризовавшими его как легковоспроизводимый. В связи с этим, затягивать с переходом на исправленную версию PHP явно не стоит.
Кроме того, для предотвращения возможных атак рекомендуется также регулярно проверять конфигурации серверов, проводить аудиты безопасности и обучать сотрудников правилам безопасного использования и администрирования систем.
Исследователи безопасности из тайваньской компании DEVCORE обнаружили серьёзную уязвимость, затрагивающую установки PHP на Windows в режиме CGI. Получившая идентификатор CVE-2024-4577 (рейтинг CVSS пока не определён), проблема позволяет злоумышленникам производить подстановку аргументов командной строки, что способно привести к удалённому выполнению кода ( RCE ).
Как сообщают специалисты DEVCORE, проблема «растёт» из другой уязвимости — CVE-2012-1823 , так как свежевыявленный баг позволяет обойти внедрённую от неё защиту с помощью определённых последовательностей символов.
CVE-2024-4577 затрагивает все версии PHP, установленные в операционной системе Windows, а именно:
- с версии PHP 8.3 по 8.3.8;
- с версии PHP 8.2 по 8.2.20;
- с версии PHP 8.1 по 8.1.29.
По мнению экспертов, уязвимость потенциально может затронуть миллионы веб-сайтов и сервисов, работающих на Windows-серверах с PHP в режиме CGI. Тем не менее, на момент написания исследовательской статьи было подтверждено лишь то, что неавторизованный злоумышленник может напрямую выполнить произвольный код на удалённом сервере в следующих локализациях интерфейса: традиционный китайский, упрощенный китайский, японский.
Для экземпляров Windows, работающих в других локализациях, из-за широкого спектра сценариев использования PHP, как сообщают авторы исследования, в настоящее время невозможно полностью перечислить или исключить все возможные сценарии использования.
Администраторам рекомендуется провести самостоятельную комплексную оценку активов, проверить свои сценарии использования и обновить PHP до последней версии для обеспечения безопасности.
Стоит также учитывать, что эксплойт для данной уязвимости уже был разработан и опубликован специалистами из watchTowr Labs , охарактеризовавшими его как легковоспроизводимый. В связи с этим, затягивать с переходом на исправленную версию PHP явно не стоит.
Кроме того, для предотвращения возможных атак рекомендуется также регулярно проверять конфигурации серверов, проводить аудиты безопасности и обучать сотрудников правилам безопасного использования и администрирования систем.