跳到主要內容區塊

國立臺灣大學計算機及資訊網路中心

重要資安警訊

:::
:::
打亂端午佳節的PHP RCE漏洞 & 加密勒索病毒
  • 上版日期:2024-06-13

資安研究團隊DEVCORE發現 PHP 程式語言存在重大層級的遠端程式碼執行(RCE)漏洞,CGI參數有可能被用於注入攻擊(CVE-2024-4577),有鑑於PHP使用之廣泛性,影響範圍也較大,官方已於2024/06/06 發佈修復版本。TellYouThePass Ransomware 加密勒索病毒家族卻利用此漏洞攻擊有弱點的網站,於端午節連假的第一天爆發許多網站遭加密勒索,以迅雷不及掩耳之速度攻擊網站,造成網站管理者還來不及修復,隨即失去系統及資料的控制權。

漏洞描述

PHP程式語言忽略 Windows 作業系統內部對字元編碼轉換的特性,未經身分鑑別之遠端攻擊者可透過特定字元序列繞過原本因應CVE-2012-1823弱點修補的防護措施,透過參數注入或其他手法,於遠端PHP伺服器上執行任意程式碼。

影響範圍

漏洞影響所有Windows版本的PHP
8.3.8 (不含)以下版本
8.2.20 (不含)以下版本
8.1.29 (不含)以下版本
8.0分支所有版本
7所有版本

除此之外,所有版本的 XAMPP for Windows預設安裝也遭受此弱點影響。

修補建議

建議所有管理者升級至 PHP 官方最新版本 8.3.88.2.20 與 8.1.29,對於無法升級的系統可透過下列方式暫時緩解弱點。建議評估遷移至較為安全的 Mod-PHP、FastCGI 或是 PHP-FPM 等架構的可能性。

若無法更新PHP,可參考以下緩解方式: https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/#1-%E5%B0%8D%E7%84%A1%E6%B3%95%E6%9B%B4%E6%96%B0-php-%E7%9A%84%E4%BD%BF%E7%94%A8%E8%80%85

如使用XAMPP for Windows版本,可參考以下緩解說明:

https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/#2-%E5%B0%8D-xampp-for-windows-%E4%BD%BF%E7%94%A8%E8%80%85

參考資料

  1. DEVCORE:資安通報:PHP 遠端程式碼執行 (CVE-2024-4577) - PHP CGI 參數注入弱點。2024-06-06。網址:https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/
  2. iTHome:PHP修補CGI參數可被用於注入攻擊的弱點,若不處理攻擊者有可能發動遠端程式碼執行攻擊。2024-06-07。網址:https://www.ithome.com.tw/news/163356