PHP是一种广泛利用的开源脚本措辞,专为Web开拓设计,常日用于Windows和Linux做事器上。这个新的RCE漏洞被追踪为CVE-2024-4577,由Devcore首席安全研究员Orange Tsai于2024年5月7日创造,并报告给PHP开拓者。
PHP项目掩护者昨天发布了一个补丁来办理这个漏洞。然而,对付如此大规模支配的项目来说,运用安全更新是繁芜的,可能会导致大量系统在较永劫光内随意马虎受到攻击。
不幸的是,当一个影响许多设备的关键漏洞被表露时,威胁行为者和研究职员立即开始考试测验探求易受攻击的系统。就像CVE-2024-4577的情形一样,Shadowserver基金会已经检测到多个IP地址正在扫描探求易受攻击的做事器。
CVE-2024-4577漏洞是由于在处理字符编码转换时的轻忽,特殊是在PHP以CGI模式利用时,Windows操作系统的“最佳匹配”功能。DevCore的一份建议书阐明说:“在履行PHP时,团队没有把稳到Windows操作系统中编码转换的最佳匹配功能。这种轻忽许可未经认证的攻击者通过特定字符序列绕过之前对CVE-2012-1823的保护。远程PHP做事器上可以通过参数注入攻击实行任意代码。”
这个漏洞绕过了PHP团队过去为CVE-2012-1823履行的保护方法,该漏洞在修复几年后仍被恶意软件攻击利用。
剖析职员阐明说,纵然PHP没有配置为CGI模式,只要PHP可实行文件(例如php.exe或php-cgi.exe)位于Web做事器可以访问的目录中,CVE-2024-4577仍可能被利用。由于这是Windows上XAMPP的默认配置,DEVCORE警告说,所有Windows上的XAMPP安装很可能都是易受攻击的。
当利用更随意马虎受到这种编码转换漏洞影响的某些地区设置时,问题会更加严重,包括繁体中文、简体中文和日语。
Devcore表示,CVE-2024-4577漏洞影响所有Windows版本的PHP,如果您正在利用PHP 8.0(生命周期结束)、PHP 7.x(生命周期结束)或PHP 5.x(生命周期结束),您须要升级到更新的版本,或利用下面描述的缓解方法。
利用支持的PHP版本的用户应升级到包含补丁的版本:PHP 8.3.8、PHP 8.2.20和PHP 8.1.29。
对付无法立即升级的系统和利用生命周期结束版本的用户,建议运用一个mod_rewrite规则来阻挡攻击,如下所示:
RewriteEngine OnRewriteCond %{QUERY_STRING} ^%ad [NC]RewriteRule .? – [F,L]
如果您利用XAMPP并且不须要PHP CGI功能,请在Apache配置文件中找到’ScriptAlias’指令(常日位于’C:/xampp/apache/conf/extra/httpd-xampp.conf’)并将其注释掉。
管理员可以利用phpinfo()函数来确定他们是否利用PHP-CGI,并在输出中检讨’Server API’值。
DEVCORE还建议系统管理员考虑从CGI迁移到更安全的替代方案,如FastCGI、PHP-FPM和Mod-PHP。
