Surgiram detalhes sobre uma nova falha crítica de segurança que afeta o PHP e que poderia ser explorada para obter execução remota de código sob certas circunstâncias.
A vulnerabilidade, rastreada como CVE-2024-4577foi descrito como uma vulnerabilidade de injeção de argumento CGI que afeta todas as versões do PHP instaladas no sistema operacional Home windows.
Segundo o pesquisador de segurança da DEVCORE, a falha permite contornar as proteções implementadas para outra falha de segurança, a CVE-2012-1823.
“Ao implementar o PHP, a equipe não percebeu o recurso Finest-Match de conversão de codificação no sistema operacional Home windows”, disse o pesquisador de segurança Orange Tsai.
“Essa supervisão permite que invasores não autenticados contornem a proteção anterior do CVE-2012-1823 por sequências de caracteres específicas. Código arbitrário pode ser executado em servidores PHP remotos por meio do ataque de injeção de argumento.”
Após divulgação responsável em 7 de maio de 2024, uma correção para a vulnerabilidade foi disponibilizada nas versões 8.3.8, 8.2.20 e 8.1.29 do PHP.
DEVCORE alertou que todas as instalações do XAMPP no Home windows são vulneráveis por padrão quando configuradas para usar as localidades para chinês tradicional, chinês simplificado ou japonês.
A empresa taiwanesa também recomenda que os administradores abandonem completamente o PHP CGI desatualizado e optem por uma solução mais segura, como Mod-PHP, FastCGI ou PHP-FPM.
“Esta vulnerabilidade é incrivelmente simples, mas é também isso que a torna interessante”, disse Tsai. “Quem imaginaria que um patch, que foi revisado e comprovado como seguro nos últimos 12 anos, poderia ser contornado devido a um pequeno recurso do Home windows?”
A Shadowserver Basis, em postagem compartilhada no X, disse que já detectou tentativas de exploração envolvendo a falha em seus servidores honeypot 24 horas após a divulgação pública.
watchTowr Labs disse que foi capaz de desenvolver uma exploração para CVE-2024-4577 e obter execução remota de código, tornando imperativo que os usuários avancem rapidamente para aplicar os patches mais recentes.
“Um bug desagradável com uma exploração muito simples”, disse o pesquisador de segurança Aliz Hammond.
“Aqueles que executam uma configuração afetada em uma das localidades afetadas – chinês (simplificado ou tradicional) ou japonês – são incentivados a fazer isso o mais rápido possível, pois o bug tem uma grande probability de ser explorado em massa devido a a baixa complexidade de exploração.”