©2022 - Todos os Direitos Reservados
Polìtica de Privacidade
Entrar em contato
ameaças cibernéticas

Falha crítica de RCE afeta todas as versões do PHP para Windows

Inteligência Artificial

2 min read
Falha crítica de RCE afeta todas as versões do PHP para Windows

Uma vulnerabilidade de execução remota de código (RCE) no PHP para Windows foi divulgada, afetando todas as versões desde a 5.x, potencialmente impactando um grande número de servidores em todo o mundo. A nova falha de RCE, rastreada como CVE-2024-4577, foi descoberta pelo Principal Pesquisador de Segurança da Devcore, Orange Tsai, em 7 de maio de 2024, que a reportou aos desenvolvedores do PHP. Os mantenedores do projeto PHP lançaram um patch, abordando a vulnerabilidade.

A empresa The Shadowserver Foundation já detectou múltiplos endereços IP escaneando por servidores vulneráveis.

CVE-2024-4577

A falha CVE-2024-4577 é causada por uma falha na manipulação de conversões de codificação de caracteres, especificamente o recurso "Best-Fit" no Windows quando o PHP é usado no modo CGI. "Enquanto implementava o PHP, a equipe não percebeu o recurso Best-Fit da conversão de codificação dentro do sistema operacional Windows", explica um comunicado da DevCore. "Essa falha permite que atacantes não autenticados contornem a proteção anterior da CVE-2012-1823 por meio de sequências de caracteres específicas. Código arbitrário pode ser executado em servidores PHP remotos através do ataque de injeção de argumentos."

Essa falha contorna as proteções que a equipe do PHP implementou no passado para a CVE-2012-1823, que foi explorada em ataques de malware vários anos após sua remediação. Os analistas explicam que, mesmo que o PHP não esteja configurado no modo CGI, a CVE-2024-4577 ainda pode ser explorável, desde que os executáveis do PHP (por exemplo, php.exe ou php-cgi.exe) estejam em diretórios acessíveis pelo servidor web. Devido a essa configuração ser padrão no XAMPP para Windows, a DEVCORE alerta que todas as instalações do XAMPP no Windows provavelmente estão vulneráveis.

A CVE-2024-4577 afeta todas as versões do PHP para Windows, se você estiver usando PHP 8.0 (EoL), PHP 7.x (EoL), ou PHP 5.x (EoL), você precisa atualizar para uma versão mais recente ou usar as mitigações descritas abaixo.

Estratégia de Remediação

Aqueles que usam versões suportadas do PHP devem atualizar para as versões que incorporam os patches: PHP 8.3.8, PHP 8.2.20, e PHP 8.1.29. Para sistemas que não podem ser imediatamente atualizados e usuários de versões EoL, recomenda-se aplicar uma regra mod_rewrite para bloquear ataques, como a seguinte:

  • RewriteEngine On
  • RewriteCond %{QUERY_STRING} ^%ad [NC]
  • RewriteRule .? – [F,L]

Se você usa XAMPP e não precisa do recurso PHP CGI, encontre a diretiva 'ScriptAlias' no arquivo de configuração do Apache (geralmente em 'C:/xampp/apache/conf/extra/httpd-xampp.conf') e comente-a. Os administradores podem determinar se estão usando PHP-CGI utilizando a função phpinfo() e verificando o valor de 'Server API' na saída.

A DEVCORE também sugere que os administradores de sistemas considerem migrar do CGI para alternativas mais seguras, como FastCGI, PHP-FPM e Mod-PHP.

Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que prioriza riscos cibernéticos críticos para os negócios, integrando IA para segurança avançada. Agende uma demo aqui

Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.

Sign up for more like this.

Enter your email
Subscribe