Une nouvelle vulnérabilité PHP expose les serveurs Windows à l’exécution de code à distance | Dmshaulers

PHP Vulnerability

8 juin 2024RédactionVulnérabilité / Programmation

Des détails ont émergé sur une nouvelle faille de sécurité critique affectant PHP qui pourrait être exploitée pour réaliser l’exécution de code à distance dans certaines circonstances.

La vulnérabilité, suivie comme CVE-2024-4577a été décrite comme une vulnérabilité d’injection d’arguments CGI qui affecte toutes les versions de PHP installées sur le système d’exploitation Windows.

Selon le chercheur en sécurité de DEVCORE, la faille permet de contourner les protections en place pour une autre faille de sécurité, CVE-2012-1823.

Cybersécurité

“Lors de l’implémentation de PHP, l’équipe n’a pas remarqué Meilleur ajustement fonctionnalité de conversion d’encodage dans le système d’exploitation Windows”, chercheur en sécurité Orange Tsai dit.

“Cette surveillance permet à des attaquants non autorisés de contourner la protection précédente de CVE-2012-1823 en utilisant des séquences de caractères spécifiques. Du code arbitraire peut être exécuté sur des serveurs PHP distants via une attaque par injection d’arguments.”

Après publication responsable le 7 mai 2024, une correction à vulnérabilité est mis à disposition dans Versions PHP 8.3.8, 8.2.20 et 8.1.29.

DEVCORE a averti que toutes les installations XAMPP sous Windows sont vulnérables par défaut lorsqu’elles sont configurées pour utiliser Emplacements pour le chinois traditionnel, le chinois simplifié ou le japonais.

La société taïwanaise recommande également aux administrateurs d’abandonner complètement le PHP CGI obsolète et d’opter pour une solution plus sécurisée telle que Mod-PHP, FastCGI ou PHP-FPM.

“Cette vulnérabilité est incroyablement simple, mais c’est aussi ce qui la rend intéressante”, a déclaré Tsai. dit. “Qui aurait pensé qu’un correctif qui a été examiné et prouvé sûr au cours des 12 dernières années pourrait être contourné en raison d’une fonctionnalité mineure de Windows ?”

Fondation Shadowserver, dans un article partagé chez X, a déclaré avoir déjà détecté des tentatives d’exploitation impliquant la faille sur ses serveurs honeypot dans les 24 heures suivant la divulgation publique.

Cybersécurité

watchTowr Labs a déclaré avoir été capable de concevoir un exploit pour CVE-2024-4577 et de réaliser l’exécution de code à distance, ce qui rend impératif que les utilisateurs agissent rapidement pour appliquer les derniers correctifs.

“Un vilain bug avec un exploit très simple”, chercheur en sécurité Aliz Hammond dit.

“Ceux qui exécutent une configuration affectée sous l’un des paramètres régionaux concernés – chinois (simplifié ou traditionnel) ou japonais – sont encouragés à le faire dès que cela est humainement possible, car le bug a de fortes chances d’être exploité en masse en raison de la faible utilisation. complexité.”

Avez-vous trouvé cet article intéressant? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.

Leave a Reply

Your email address will not be published. Required fields are marked *