Investigadores de ciberseguridad han descubierto una nueva vulnerabilidad en PHP que podría permitir a los piratas informáticos ejecutarlo Código malicioso remoto.
La vulnerabilidad se rastrea como CVE-2'24-4577 y se describe como una vulnerabilidad de inyección de middleware CGI. Al momento de escribir este artículo, no se ha determinado la gravedad del problema, pero sabemos que afecta a todas las versiones de PHP instaladas en Windows. SOSe introdujo cuando el equipo intentó corregir un error diferente.
Como explicaron los investigadores de DEVCORE, la vulnerabilidad salió a la luz cuando se parchó CVE-2012-1823: “Durante la ejecución de PHP, el equipo no observó la función de transcodificación Best-Fit dentro del sistema operativo Windows”. “Esta supervisión permite a atacantes no autenticados eludir protecciones anteriores para CVE-2012-1823 mediante secuencias de caracteres específicas. Se puede ejecutar código arbitrario en servidores PHP remotos mediante un ataque de inyección de middleware”.
Aplicar el parche
Desde entonces, se ha puesto a disposición una solución y las versiones estables anteriores incluyen 8.3.8, 8.2.20 y 8.1.29. Se recomienda a los usuarios que apliquen el parche de inmediato, ya que hay evidencia de que los actores de amenazas escanean Internet en busca de puntos finales vulnerables.
Como se informó Noticias de piratas informáticosla organización Shadowserver ya ha visto a piratas informáticos buscando puntos finales en busca de la vulnerabilidad: “¡Atención!” Vemos múltiples direcciones IP probando PHP/PHP-CGI CVE-2024-4577 (vulnerabilidad de inyección de argumentos) contra nuestros sensores honeypot a partir de hoy, 7 de junio”. dijo la organización sin fines de lucro en X. “La vulnerabilidad afecta a PHP que se ejecuta en el sistema operativo Windows”.
DEVCORE también declaró que todas las instalaciones de XAMPP en Windows son vulnerables de forma predeterminada, cuando están configuradas para usar chino tradicional, chino simplificado o japonés. Por lo tanto, los administradores deberían reemplazar el antiguo PHP CGI con algo como Mod-PHP, FastCGI o PHP-FPM:
“Esta debilidad es increíblemente simple, pero eso también es lo que la hace interesante”, dijeron los investigadores. “¿Quién hubiera pensado que un parche, que ha sido revisado y demostrado ser seguro durante los últimos 12 años, podría omitirse debido a una simple característica de Windows?”