打亂端午佳節的PHP RCE漏洞 & 加密勒索病毒
- 上版日期:2024-06-13
資安研究團隊DEVCORE發現 PHP 程式語言存在重大層級的遠端程式碼執行(RCE)漏洞,CGI參數有可能被用於注入攻擊(CVE-2024-4577),有鑑於PHP使用之廣泛性,影響範圍也較大,官方已於2024/06/06 發佈修復版本。TellYouThePass Ransomware 加密勒索病毒家族卻利用此漏洞攻擊有弱點的網站,於端午節連假的第一天爆發許多網站遭加密勒索,以迅雷不及掩耳之速度攻擊網站,造成網站管理者還來不及修復,隨即失去系統及資料的控制權。
漏洞描述
PHP程式語言忽略 Windows 作業系統內部對字元編碼轉換的特性,未經身分鑑別之遠端攻擊者可透過特定字元序列繞過原本因應CVE-2012-1823弱點修補的防護措施,透過參數注入或其他手法,於遠端PHP伺服器上執行任意程式碼。
影響範圍
漏洞影響所有Windows版本的PHP
8.3.8 (不含)以下版本
8.2.20 (不含)以下版本
8.1.29 (不含)以下版本
8.0分支所有版本
7所有版本
除此之外,所有版本的 XAMPP for Windows預設安裝也遭受此弱點影響。
修補建議
建議所有管理者升級至 PHP 官方最新版本 8.3.8、8.2.20 與 8.1.29,對於無法升級的系統可透過下列方式暫時緩解弱點。建議評估遷移至較為安全的 Mod-PHP、FastCGI 或是 PHP-FPM 等架構的可能性。
如使用XAMPP for Windows版本,可參考以下緩解說明:
參考資料
- DEVCORE:資安通報:PHP 遠端程式碼執行 (CVE-2024-4577) - PHP CGI 參數注入弱點。2024-06-06。網址:https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/
- iTHome:PHP修補CGI參數可被用於注入攻擊的弱點,若不處理攻擊者有可能發動遠端程式碼執行攻擊。2024-06-07。網址:https://www.ithome.com.tw/news/163356
