Lỗ hổng PHP mới làm lộ máy chủ Windows đến việc thực thi mã từ xa

Chi tiết đã được tiết lộ về một lỗ hổng bảo mật nghiêm trọng mới ảnh hưởng đến PHP, có thể bị khai thác để thực thi mã từ xa trong một số trường hợp nhất định.Lỗ hổng này, được theo dõi với mã CVE-2024-4577, được mô tả là lỗ hổng chèn đối số CGI, ảnh hưởng đến tất cả các phiên bản PHP được cài đặt trên hệ điều hành Windows.

Theo nhà nghiên cứu bảo mật của DEVCORE, điểm yếu này có thể cho phép bypass các biện pháp bảo vệ được thiết lập cho một lỗ hổng bảo mật khác, CVE-2012-1823.

"Trong quá trình triển khai PHP, nhóm phát triển không nhận ra tính năng Best-Fit của chuyển đổi mã hóa trong hệ điều hành Windows," nhà nghiên cứu bảo mật Orange Tsai nói.

"Sơ suất này cho phép kẻ tấn công chưa xác thực bypass các biện pháp bảo vệ trước đó của CVE-2012-1823 bằng các chuỗi ký tự cụ thể. Mã tùy ý có thể được thực thi trên máy chủ PHP từ xa thông qua cuộc tấn công chèn đối số."

Sau thông báo chịu trách nhiệm vào ngày 7 tháng 5 năm 2024, một bản sửa lỗi cho lỗ hổng đã được cung cấp trong các phiên bản PHP 8.3.8, 8.2.20 và 8.1.29.

DEVCORE đã cảnh báo rằng tất cả các cài đặt XAMPP trên Windows đều bị lỗ hổng mặc định khi được cấu hình để sử dụng các bản địa hoá cho Tiếng Trung truyền thống, Tiếng Trung giản thể hoặc Tiếng Nhật.

Công ty Đài Loan cũng đang khuyến nghị rằng các quản trị viên nên từ bỏ hoàn toàn PHP CGI lỗi thời và chọn lựa một giải pháp an toàn hơn như Mod-PHP, FastCGI hoặc PHP-FPM.

"Lỗ hổng này vô cùng đơn giản, nhưng đó cũng là điều làm cho nó thú vị," Tsai nói. "Ai có thể nghĩ rằng một bản vá, đã được xem xét và chứng minh an toàn trong 12 năm qua, có thể được bypass vì một tính năng Windows nhỏ?"

Tổ chức Shadowserver Foundation, trong một bài đăng được chia sẻ trên X, cho biết họ đã phát hiện các nỗ lực khai thác liên quan đến lỗ hổng đối với các máy chủ của họ trong vòng 24 giờ kể từ khi thông báo công khai.

watchTowr Labs cho biết họ đã có thể phát triển một kỹ thuật tấn công cho CVE-2024-4577 và đạt được thực thi mã từ xa, làm cho việc người dùng nhanh chóng áp dụng các bản vá mới nhất trở nên cấp bách.

"Một lỗi rất nguy hiểm với một kỹ thuật tấn công rất đơn giản," nhà nghiên cứu bảo mật Aliz Hammond nói.

"Những người đang chạy trong một cấu hình bị ảnh hưởng dưới một trong các bản địa hoá bị ảnh hưởng - Tiếng Trung (giản thể hoặc truyền thống) hoặc Tiếng Nhật - được kêu gọi làm điều này càng nhanh càng tốt, vì lỗi này có khả năng bị khai thác hàng loạt do độ phức tạp của kỹ thuật tấn công thấp."

Cài đặt và chạy ứng dụng đầu tiên với Yii2 Framework (P1)

Tích hợp Zoom Meeting trong Laravel

Migrations trong Yii2 Framework (P11)

Tìm hiểu về chế độ bảo trì website trong Laravel Framework

Gửi mail trong Yii2 Framework (P13)

To TOP 5 thư viện Gantt Chart nâng cao tốt nhất cho JavaScript

To Lỗ hổng PHP mới làm lộ máy chủ Windows đến việc thực thi mã từ xa

To 5 cách ChatGPT có thể giúp doanh nghiệp của bạn

To Giám sát truy vấn cơ sở dữ liệu nâng cao trong Laravel

To Top 10 PHP Testing Frameworks trong năm 2024

Thiết bị gian lận thẻ tín dụng tinh vi giả mạo thành ứng dụng theo dõi Facebook vô hại

Nhóm hacker đã lấy cắp dữ liệu tài chính trên khắp châu Á thông qua phần mềm độc hại.

Các trình cài đặt giả mạo của Adobe Acrobat Reader phân phối phần mềm độc hại Byakugan như thế nào

Subscribe To Our Weekly Newsletter