این آسیبپذیری که بهعنوان CVE-2024-4577 ردیابی میشود، بهعنوان آسیبپذیری تزریق آرگومان CGI توصیف شده است که بر تمام نسخههای PHP نصبشده روی سیستمعامل ویندوز تأثیر میگذارد.
به گفته محقق امنیتی DEVCORE، این نقص امکان دورزدن حفاظتهای ایجاد شده برای یک نقص امنیتی دیگر، یعنی CVE-2012-1823 را فراهم میکند[۱].
Orange Tsai، محقق امنیتی در این باره گفت[۲]: «هنگام اجرای PHP، این گروه متوجه ویژگی Best-Fit[3] تبدیل کدگذاری در سیستمعامل ویندوز نشد.»
“این نظارت به مهاجمان احراز هویت نشده اجازه میدهد تا حفاظت قبلی CVE-2012-1823 را توسط توالی کاراکترهای خاص دور بزنند. کد دلخواه را میتوان از طریق حمله تزریق آرگومان روی سرورهای PHP راه دور اجرا کرد.”
پس از افشای مسئولانه در ۷ می ۲۰۲۴، اصلاحی برای این آسیبپذیری[۴] در نسخههای P8.3.8، ۸٫۲٫۲۰ و ۸٫۱٫۲۹ در دسترس قرار گرفته است[۵].
DEVCORE هشدار داده است که تمام نصبهای XAMPP در ویندوز به طور پیشفرض آسیبپذیر هستند، زمانی که برای استفاده از زبانهای[۶] محلی چینی سنتی، چینی ساده شده یا ژاپنی پیکربندی شدهاند.
این شرکت تایوانی همچنین توصیه میکند که مدیران بهطورکلی از CGI منسوخ شده فاصله بگیرند و راهحل ایمنتری مانند Mod-PHP، FastCGI یا PHP-FPM را انتخاب کنند.
Tsai گفت[۷]: “این آسیبپذیری فوقالعاده ساده است، اما همین موضوع آن را جالب میکند. چه کسی فکر میکرد که یک وصله که در ۱۲ سال گذشته بررسی شده و ایمنی آن ثابت شده است، به دلیل یک ویژگی جزئی ویندوز قابل دور زدن باشد؟”
بنیاد Shadowserver، در پستی که در X به اشتراک گذاشته شد[۸]، گفت که قبلاً تلاشهای بهرهبرداری مربوط به نقص سرورهای Honeypot خود را ظرف ۲۴ ساعت پس از افشای عمومی شناسایی کرده است.
WatchTowr Labs گفت که توانسته است یک بهرهبردار برای CVE-2024-4577 ابداع کند و به اجرای کد از راه دوردست یابد، و این امر ضروری است که کاربران بهسرعت برای اعمال آخرین وصلهها اقدام کنند.
Aliz Hammond، محقق امنیتی، در مورد این آسیبپذیری گفت[۹]: “یک اشکال بد با یک بهرهبردار بسیار ساده.”
از افرادی که در یک پیکربندی آسیبدیده تحت یکی از مناطق آسیبدیده – چینی (سادهشده، یا سنتی) یا ژاپنی – اجرا میشوند، خواسته میشود تا این کار را با بیشترین سرعت ممکن انجام دهند، زیرا این اشکال به دلیل احتمال زیاد مورد بهرهبرداری انبوه به دلیل پیچیدگی کم بهرهبرداری است.”
منابع
[۱] https://www.kb.cert.org/vuls/id/520827
[۲] https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability-en
[۳] https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-ucoderef/d1980631-6401-428e-a49d-d71394be7da8
[۴] https://github.com/php/php-src/security/advisories/GHSA-3qgc-jrrr-25jv
[۵] https://www.php.net/ChangeLog-8.php
[۶] https://learn.microsoft.com/en-us/windows/win32/intl/locales-and-languages
[۷] https://blog.orange.tw/2024/06/cve-2024-4577-yet-another-php-rce.html
[۸] https://x.com/Shadowserver/status/1799053497490698548
[۹] https://labs.watchtowr.com/no-way-php-strikes-again-cve-2024-4577
[۱۰] https://thehackernews.com/2024/06/new-php-vulnerability-exposes-windows.html
ثبت ديدگاه