安全研究人员揭露了一个新的PHP Windows远程代码执行(RCE)漏洞,该漏洞影响自5.x版本以来的所有版本,可能会影响全球大量服务器。
PHP是一种广泛使用的开源脚本语言,专为Web开发设计,通常用于Windows和Linux服务器上。这个新的RCE漏洞被追踪为CVE-2024-4577,由Devcore首席安全研究员Orange Tsai于2024年5月7日发现,并报告给PHP开发者。
PHP项目维护者昨天发布了一个补丁来解决这个漏洞。然而,对于如此大规模部署的项目来说,应用安全更新是复杂的,可能会导致大量系统在较长时间内容易受到攻击。
不幸的是,当一个影响许多设备的关键漏洞被披露时,威胁行为者和研究人员立即开始尝试寻找易受攻击的系统。就像CVE-2024-4577的情况一样,Shadowserver基金会已经检测到多个IP地址正在扫描寻找易受攻击的服务器。
CVE-2024-4577漏洞是由于在处理字符编码转换时的疏忽,特别是在PHP以CGI模式使用时,Windows操作系统的“最佳匹配”功能。DevCore的一份建议书解释说:“在实施PHP时,团队没有注意到Windows操作系统中编码转换的最佳匹配功能。这种疏忽允许未经认证的攻击者通过特定字符序列绕过之前对CVE-2012-1823的保护。远程PHP服务器上可以通过参数注入攻击执行任意代码。”
这个漏洞绕过了PHP团队过去为CVE-2012-1823实施的保护措施,该漏洞在修复几年后仍被恶意软件攻击利用。
分析人员解释说,即使PHP没有配置为CGI模式,只要PHP可执行文件(例如php.exe或php-cgi.exe)位于Web服务器可以访问的目录中,CVE-2024-4577仍可能被利用。由于这是Windows上XAMPP的默认配置,DEVCORE警告说,所有Windows上的XAMPP安装很可能都是易受攻击的。
当使用更容易受到这种编码转换漏洞影响的某些地区设置时,问题会更加严重,包括繁体中文、简体中文和日语。
Devcore表示,CVE-2024-4577漏洞影响所有Windows版本的PHP,如果您正在使用PHP 8.0(生命周期结束)、PHP 7.x(生命周期结束)或PHP 5.x(生命周期结束),您需要升级到更新的版本,或使用下面描述的缓解措施。
使用支持的PHP版本的用户应升级到包含补丁的版本:PHP 8.3.8、PHP 8.2.20和PHP 8.1.29。
对于无法立即升级的系统和使用生命周期结束版本的用户,建议应用一个mod_rewrite规则来阻止攻击,如下所示:
RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? – [F,L]如果您使用XAMPP并且不需要PHP CGI功能,请在Apache配置文件中找到’ScriptAlias’指令(通常位于’C:/xampp/apache/conf/extra/httpd-xampp.conf’)并将其注释掉。
管理员可以使用phpinfo()函数来确定他们是否使用PHP-CGI,并在输出中检查’Server API’值。
DEVCORE还建议系统管理员考虑从CGI迁移到更安全的替代方案,如FastCGI、PHP-FPM和Mod-PHP。
