Lỗ hổng mã PHP tin tặc nhắm mục tiêu vào máy chủ Windows
Lỗ hổng này, được xác định với mã CVE-2024-4577, là một lỗ hổng tiêm tham số CGI. Hiện tại, mức độ nghiêm trọng của lỗ hổng chưa được xác định, nhưng nó ảnh hưởng đến tất cả các phiên bản PHP chạy trên hệ điều hành Windows. Lỗ hổng được phát hiện trong quá trình nhóm nghiên cứu vá một lỗ hổng khác.
Theo nhóm nghiên cứu từ DEVCORE, lỗ hổng này xuất hiện khi nhóm vá CVE-2012-1823: “Trong quá trình triển khai PHP, nhóm đã bỏ qua tính năng Best-Fit của chuyển đổi mã hóa trong hệ điều hành Windows,” họ giải thích. “Điều này cho phép tin tặc chưa xác thực vượt qua được lớp bảo vệ của CVE-2012-1823 bằng cách sử dụng các chuỗi ký tự đặc biệt. Kết quả là mã độc tùy ý có thể được thực thi trên các máy chủ PHP từ xa thông qua cuộc tấn công chèn đối số.”
Các bản vá cho lỗ hổng này đã được phát hành, với các phiên bản cập nhật bao gồm 8.3.8, 8.2.20 và 8.1.29. Người dùng được khuyến cáo cập nhật ngay lập tức do có bằng chứng về việc tin tặc đang quét internet để tìm kiếm các hệ thống dễ bị tấn công.
Theo báo cáo của The Hacker News, tổ chức Shadowserver Foundation đã phát hiện các cuộc thăm dò của tin tặc nhắm vào các điểm cuối để tìm lỗ hổng này. “Chúng tôi đã thấy nhiều địa chỉ IP đang thử nghiệm lỗ hổng PHP/PHP-CGI CVE-2024-4577 (Lỗ hổng tiêm tham số) trên các cảm biến honeypot của chúng tôi kể từ ngày 7 tháng 6,” tổ chức này cho biết trên nền tảng X. Lỗ hổng này ảnh hưởng đến PHP chạy trên hệ điều hành Windows.
DEVCORE cũng thông báo rằng tất cả các cài đặt XAMPP trên Windows đều dễ bị tấn công nếu sử dụng ngôn ngữ tiếng Trung phồn thể, tiếng Trung giản thể hoặc tiếng Nhật theo mặc định. Do đó, các quản trị viên nên thay thế PHP CGI cũ bằng các phương pháp như Mod-PHP, FastCGI hoặc PHP-FPM.
“Lỗ hổng này cực kỳ đơn giản, nhưng cũng chính điều này khiến nó trở nên đáng chú ý,” các nhà nghiên cứu cho biết. “Ai có thể ngờ rằng một bản vá đã được xem xét và tin tưởng trong suốt 12 năm qua lại có thể bị bỏ sót do một tính năng nhỏ trên hệ điều hành Windows?”
Comments are closed