Lỗ hổng PHP mới khiến các máy chủ Windows có nguy cơ bị tấn công RCE

lo-hong-php

Một lỗ hổng bảo mật mới đe dọa PHP đã được phát hiện, có thể bị khai thác để thực thi mã từ xa trong một số trường hợp. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản PHP trên hệ điều hành Windows và có thể được sử dụng để bypass bảo vệ cho lỗ hổng bảo mật khác.

Thông tin về lỗ hổng PHP mới

Đã xuất hiện thông tin chi tiết về một lỗ hổng bảo mật nghiêm trọng mới ảnh hưởng đến PHP. Lỗ hổng này có thể bị khai thác để thực thi mã từ xa trong một số trường hợp nhất định.

Lỗ hổng CVE-2024-4577 được mô tả là lỗ hổng chèn đối số CGI ảnh hưởng đến tất cả các phiên bản PHP được cài đặt trên hệ điều hành Windows.

Theo các nhà nghiên cứu bảo mật của DEVCORE, thiếu sót này giúp có thể vượt qua các biện pháp bảo vệ được áp dụng cho một lỗ hổng bảo mật khác, CVE-2012-1823 .

Nhà nghiên cứu bảo mật Orange Tsai cho biết : “Trong khi triển khai PHP, nhóm đã không nhận thấy tính năng Best-Fit của chuyển đổi mã hóa trong hệ điều hành Windows”.

“Sự giám sát này cho phép những kẻ tấn công không được xác thực vượt qua lớp bảo vệ trước đó của CVE-2012-1823 bằng các chuỗi ký tự cụ thể. Mã tùy ý có thể được thực thi trên các máy chủ PHP từ xa thông qua cuộc tấn công tiêm đối số.”

Sau khi được báo cáo vào ngày 7 tháng 5 năm 2024, bản vá cho lỗ hổng này đã được cung cấp trong các phiên bản PHP 8.3.8, 8.2.20 và 8.1.29 .

DEVCORE đã cảnh báo rằng tất cả các cài đặt XAMPP trên Windows đều dễ bị tấn công theo mặc định khi được định cấu hình để sử dụng ngôn ngữ cho tiếng Trung phồn thể, tiếng Trung giản thể hoặc tiếng Nhật.

Các quản trị viên đều được khuyến nghị nên loại bỏ hoàn toàn PHP CGI lỗi thời và chọn giải pháp an toàn hơn như Mod-PHP, FastCGI hoặc PHP-FPM.

Shadowserver Foundation cho biết họ đã phát hiện các nỗ lực khai thác liên quan đến lỗ hổng đối với các máy chủ honeypot của mình trong vòng 24 giờ kể từ khi tiết lộ công khai.

watchTowr Labs cho biết họ có thể nghĩ ra cách khai thác CVE-2024-4577 và thực thi mã từ xa, khiến người dùng buộc phải nhanh chóng áp dụng các bản vá mới nhất. lỗi này có nguy cơ cao bị khai thác hàng loạt do độ phức tạp khai thác thấp.

Để giảm thiểu các rủi ro tiềm ẩn, chuyên gia VSEC khuyến cáo người dùng nên thường xuyên theo dõi tin tức từ nhà cung cấp cho các sản phẩm đang sử dụng và áp dụng ngay các bản vá bảo mật ngay khi chúng có sẵn hoặc triển khai các biện pháp giảm thiểu khác trong trường hợp chưa thể cập nhật bản vá. Hoặc, có thể theo dõi các thông tin từ VSEC để có thể cập nhật các thông tin nhanh chóng và có những giải pháp bảo mật kịp thời.

Nguồn: The Hackernews