🔴  Resumen de Actualizaciones: Investigadores de DEVCORE han publicado una vulnerabilidad crítica de ejecución remota de código (RCE) en PHP, rastreada como CVE-2024-4577, que afecta a casi todas las versiones de PHP en Windows (inicialmente se hablaba de las versiones 5.x y anteriores). Esta vulnerabilidad podría poner en riesgo millones de servidores en todo el mundo.

🔍 Detalles de la Vulnerabilidad:

Esta vulnerabilidad utiliza la función Best-Fit en la conversión de codificación en Windows permitiendo que los atacantes eludan las protecciones implementadas en la solución que se aplicaba sobre el CVE-2012-1823, utilizando secuencias de caracteres específicas, ejecutando código arbitrario a través de un ataque de inyección de argumentos.

• Fecha de Descubrimiento: 7 de mayo de 2024
• Fecha de Lanzamiento del Parche: 6 de junio de 2024
• Impacto: Permite a atacantes no autenticados ejecutar código arbitrario en servidores PHP afectados, tomando control total de ellos.

🌐 Impacto Global: Detectado en sistemas Windows con configuraciones regionales específicas:

• Chino Tradicional (Code Page 950)
• Chino Simplificado (Code Page 936)
• Japonés (Code Page 932)
• ¿Resto de idiomas?: Si bien no están tan definidos, según el artículo de DEVCORE, no se descartan con seguridad, así que también recomiendan considerarlos como vulnerables.
• Otros locales también pueden ser vulnerables dependiendo de los escenarios de uso de PHP.

🛡️ Versiones y Productos Afectados:

• Según DEVCORE:
  • PHP 8.3 < 8.3.8
  • PHP 8.2 < 8.2.20
  • PHP 8.1 < 8.1.29
  • PHP 8.0, PHP 7, PHP 5 son End-of-Life así que son vulnerables por defecto (ver mitigación en estos casos)
  • TODAS las instalaciones de XAMPP, son vulnerables.

⚠️ Acción Recomendada:

• Actualización Inmediata: Se recomienda encarecidamente actualizar a las versiones PHP 8.3.8, 8.2.20 y 8.1.29.
• Para usuarios que NO pueden actualizar PHP: Existe una mitigación en código en la regla mod_rewrite, proporcionada por DEVCORE , pero se ha de evaluar si cumplen o no ciertos requisitos, ya que solo aplica en determinados escenarios hasta el momento.
• Para usuarios de XAMPP: Hay que cambiar unos parámentros en el http server, que también, deben ser evaluados.

La recomendación general es estar atentos a las actualizaciones sobre este CVE ya que descubre varios posibles vectores según escenarios y despliegue que aún no están del todo definidos.

Mas info:

• Security Alert: CVE-2024-4577 - PHP CGI Argument Injection Vulnerability
• POC by watchTowr
• Tenable Blog
• Imperva Protects Against Critical PHP Vulnerability CVE-2024-4577
• New PHP Vulnerability Exposes Windows Servers to Remote Code Execution

En Quasar Cibersecurity ya estamos diagramando posibles soluciones sobre un número bastante extenso de escenarios, si tienes dudas en la posibilidad de afectación sobre tu infraestructura no dudes en contactarnos.