【漏洞分享】

資安研究團隊DEVCORE發現 PHP 程式語言存在重大層級的遠端程式碼執行(RCE)漏洞- 6月 14, 2024

資安研究團隊DEVCORE發現 PHP 程式語言存在重大層級的遠端程式碼執行(RCE)漏洞，CGI參數有可能被用於注入攻擊(CVE-2024-4577)，有鑑於PHP使用之廣泛性，影響範圍也較大，官方已於2024/06/06 發佈修復版本。TellYouThePass Ransomware 加密勒索病毒家族卻利用此漏洞攻擊有弱點的網站，於端午節連假的第一天爆發許多網站遭加密勒索，以迅雷不及掩耳之速度攻擊網站，造成網站管理者還來不及修復，隨即失去系統及資料的控制權。

漏洞描述

PHP程式語言忽略 Windows 作業系統內部對字元編碼轉換的特性，未經身分鑑別之遠端攻擊者可透過特定字元序列繞過原本因應CVE-2012-1823弱點修補的防護措施，透過參數注入或其他手法，於遠端PHP伺服器上執行任意程式碼。

影響範圍

漏洞影響所有Windows版本的PHP

8.3.8 (不含)以下版本

8.2.20 (不含)以下版本

8.1.29 (不含)以下版本

8.0分支所有版本

7所有版本

除此之外，所有版本的 XAMPP for Windows預設安裝也遭受此弱點影響。

修補建議

建議所有管理者升級至 PHP 官方最新版本 8.3.8、8.2.20 與 8.1.29，對於無法升級的系統可透過下列方式暫時緩解弱點。建議評估遷移至較為安全的 Mod-PHP、FastCGI 或是 PHP-FPM 等架構的可能性。

若無法更新PHP，可參考以下緩解方式： https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/#1-%E5%B0%8D%E7%84%A1%E6%B3%95%E6%9B%B4%E6%96%B0-php-%E7%9A%84%E4%BD%BF%E7%94%A8%E8%80%85

如使用XAMPP for Windows版本，可參考以下緩解說明：

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/#2-%E5%B0%8D-xampp-for-windows-%E4%BD%BF%E7%94%A8%E8%80%85

參考資料

DEVCORE：資安通報：PHP 遠端程式碼執行 (CVE-2024-4577) - PHP CGI 參數注入弱點。2024-06-06。網址：https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/

iTHome：PHP修補CGI參數可被用於注入攻擊的弱點，若不處理攻擊者有可能發動遠端程式碼執行攻擊。2024-06-07。網址：https://www.ithome.com.tw/news/163356