Se encontró un exploit de ejecución remota de código de gobernanza y gestión de riesgos, gestión de parches, evaluación de vulnerabilidades y pruebas de penetración (VA/PT); Parche ahora disponiblePrajeet Nair (@prajeetspeaks) •8 de junio de 2024 Imagen: Los administradores del servidor de Shutterstock deben tomar medidas inmediatas para parchear una vulnerabilidad crítica de ejecución remota de código en PHP para Windows, que afecta a todas las versiones desde la versión 5.x y representa una amenaza generalizada. Ver también: OnDemand Soluciono las vulnerabilidades más explotables primero y más rápido Los investigadores de DEVCORE descubrieron la falla, identificada como CVE-2024-4577, durante su continua investigación ofensiva. La vulnerabilidad permite a atacantes no autenticados eludir las protecciones relacionadas con CVE-2012-1823 explotando secuencias de caracteres específicas. Esta falla en la función Best-Fit de la conversión de codificación de Windows permite a los atacantes ejecutar código arbitrario en servidores PHP remotos mediante un ataque de inyección de argumentos. Las versiones de PHP afectadas son: PHP 8.3 < 8.3.8 PHP 8.2 < 8.2.20 PHP 8.1 < 8.1.29 Los investigadores advirtieron que las ramas más antiguas de PHP, incluidas 8.0, 7 y 5, que ya no son compatibles, también se ven afectadas. DEVCORE aconseja a los administradores de servidores que evalúen sus sistemas e implementen inmediatamente los parches recomendados. Los servidores que ejecutan PHP en Windows en chino tradicional (página de códigos 950), chino simplificado (página de códigos 936) y japonés (página de códigos 932) son particularmente vulnerables. El aviso decía que los servidores Windows en inglés, coreano y Europa occidental pueden ser explotados y que los administradores deben realizar evaluaciones exhaustivas y aplicar actualizaciones. Los investigadores ilustraron dos escenarios de cómo se puede explotar esta vulnerabilidad: ejecutando PHP en modo CGI o exponiendo el binario de PHP. Para ejecutar PHP en modo CGI: las configuraciones que asignan solicitudes HTTP a un binario ejecutable PHP-CGI en el servidor HTTP Apache son directamente susceptibles. Esto incluye configuraciones que involucran directivas como AddHandler cgi-script .php y SetHandler application/x-httpd-php-cgi. En tales configuraciones, la vulnerabilidad permite a los atacantes explotar el ejecutable PHP-CGI directamente, lo que podría provocar la ejecución de código arbitrario en el servidor. Los atacantes pueden manipular las solicitudes HTTP para inyectar código malicioso en el intérprete PHP, aprovechando la vulnerabilidad en la conversión de codificación de Windows. En el segundo escenario, al exponer el binario PHP: las configuraciones predeterminadas en XAMPP para Windows, donde el binario ejecutable PHP está expuesto, son inherentemente vulnerables. Los escenarios típicos incluyen copiar php.exe o php-cgi.exe al directorio /cgi-bin/ o exponer el directorio PHP mediante la directiva ScriptAlias. En estos escenarios, si el ejecutable PHP es accesible y vulnerable, los atacantes pueden crear solicitudes HTTP para ejecutar código arbitrario a través del intérprete PHP. Este método aprovecha la supervisión en la conversión de codificación de Windows dentro de PHP, permitiendo la ejecución de código no autorizado en el servidor. Los investigadores de DEVCORE recomiendan actualizar a las últimas versiones de PHP: 8.3.8, 8.2.20 y 8.1.29 para mitigar esta vulnerabilidad. Para los sistemas que no se pueden actualizar, las medidas de mitigación temporales incluyen la implementación de 'Reglas de reescritura' específicas para bloquear los vectores de ataque en las ubicaciones afectadas. Los usuarios de XAMPP deben desactivar la función PHP-CGI si no es necesaria. Esto se puede hacer comentando la línea ScriptAlias ​​en el archivo de configuración httpd-xampp.conf. DEVCORE informó el problema a los desarrolladores de PHP el 7 de mayo y los desarrolladores de PHP confirmaron la vulnerabilidad y priorizaron una solución. Lanzaron varias versiones de la solución y actualizaron las versiones finales parcheadas el 6 de junio. URL de la publicación original: https://www.databreachtoday.com/critical-php-vulnerability-threatens-windows-servers-a-25460