Er zijn details naar voren gekomen over een nieuwe kritieke beveiligingsfout die invloed heeft op PHP en die onder bepaalde omstandigheden kan worden uitgebuit om code op afstand uit te voeren.
De kwetsbaarheid, bijgehouden als CVE-2024-4577is beschreven als een kwetsbaarheid voor het injecteren van CGI-argumenten die alle versies van PHP treft die op het Windows-besturingssysteem zijn geïnstalleerd.
Volgens een beveiligingsonderzoeker van DEVCORE maakt deze tekortkoming het mogelijk om de beveiliging te omzeilen die is ingesteld voor een ander beveiligingslek, CVE-2012-1823.
“Tijdens de implementatie van PHP merkte het team de Best-Fit-functie van coderingsconversie binnen het Windows-besturingssysteem niet op”, aldus beveiligingsonderzoeker Orange Tsai.
“Door dit toezicht kunnen niet-geverifieerde aanvallers de eerdere bescherming van CVE-2012-1823 door specifieke tekenreeksen omzeilen. Via de argumentinjectieaanval kan willekeurige code worden uitgevoerd op externe PHP-servers.”
Na verantwoorde openbaarmaking op 7 mei 2024 is een oplossing voor de kwetsbaarheid beschikbaar gesteld in PHP-versies 8.3.8, 8.2.20 en 8.1.29.
DEVCORE heeft gewaarschuwd dat alle XAMPP-installaties op Windows standaard kwetsbaar zijn als ze zijn geconfigureerd om de landinstellingen voor Traditioneel Chinees, Vereenvoudigd Chinees of Japans te gebruiken.
Het Taiwanese bedrijf raadt beheerders ook aan om helemaal af te stappen van de verouderde PHP CGI en te kiezen voor een veiligere oplossing zoals Mod-PHP, FastCGI of PHP-FPM.
“Deze kwetsbaarheid is ongelooflijk eenvoudig, maar dat maakt het ook interessant”, zei Tsai. “Wie had ooit gedacht dat een patch, die de afgelopen twaalf jaar is beoordeeld en veilig is gebleken, omzeild zou kunnen worden vanwege een kleine Windows-functie?”
De Shadowserver Foundation zegt in een bericht dat op X is gedeeld al binnen 24 uur na de openbaarmaking van de kwetsbaarheid pogingen tot exploitatie van haar honeypot-servers te hebben gedetecteerd.
watchTowr Labs zei dat het in staat was een exploit voor CVE-2024-4577 te bedenken en code op afstand uit te voeren, waardoor het absoluut noodzakelijk is dat gebruikers snel handelen om de nieuwste patches toe te passen.
“Een vervelende bug met een heel eenvoudige exploit”, zegt beveiligingsonderzoeker Aliz Hammond.
“Degenen die in een getroffen configuratie draaien onder een van de getroffen landinstellingen – Chinees (vereenvoudigd of traditioneel) of Japans – worden dringend verzocht dit zo snel als menselijk mogelijk is te doen, omdat de bug een grote kans heeft om massaal te worden uitgebuit vanwege de lage exploitatiecomplexiteit.”
