Lo scorso Giugno 2024 ha visto l’affacciarsi sul panorama, illimitato ormai superiormente di una pericolosa vulnerabilità nel linguaggio di programmazione PHP.
PHP e’ un cosiddetto, acronimo ricorsivo con significato di PHP: Hypertext Preprocessor ideato come linguaggio di scripting e per la realizzazione di pagine web dinamiche nel 1995.
CVE-2024-4577 è una vulnerabilità di sicurezza critica che colpisce le installazioni di PHP in modalità CGI1 su Windows. Questa vulnerabilità consente l’esecuzione di codice remoto (RCE) a causa della gestione impropria di alcune sequenze di caratteri negli argomenti della riga di comando. Questo problema deriva dal comportamento “Best-Fit” in Windows, che può interpretare erroneamente i caratteri e permettere agli utenti malintenzionati di iniettare argomenti nel binario PHP, portando a potenziali esecuzioni di comandi non autorizzati e compromissione del server.
La vulnerabilità riguarda le versioni di PHP 8.1, 8.1.29, 8.2 precedenti alla 8.2.20 ed 8.3 precedenti alla 8.3.8. Questo difetto rappresenta un bypass del vecchio CVE-2012-1823 che era stato precedentemente corretto. Gli aggressori possono sfruttare questa vulnerabilità inviando richieste HTTP appositamente create a un server, forzandolo a eseguire codice PHP arbitrario. È stato osservato che questa vulnerabilità viene sfruttata attivamente in particolare dal gruppo ransomware Tellyouthepass.
Per mitigare questa vulnerabilità, si raccomanda di aggiornare PHP alle versioni più recenti (8.3.8, 8.2.20 e 8.1.29) e di rivedere le configurazioni del server per garantire che PHP non sia esposto inutilmente in modalità CGI. Per i sistemi che non possono essere immediatamente aggiornati, l’applicazione di misure temporanee come regole remote per bloccare modelli di attacco specifici e la regolazione delle configurazioni per ambienti come XAMPP possono fornire una certa protezione.
- La specifica CGI (Common Gateway Interface) è stata introdotta per abilitare e standardizzare l’interfaccia tra server Web e programmi esterni. ↩︎
