諮詢熱線: (02)3366-5022 (02)3366-5023
諮詢信箱: cchelp@ntu.edu.tw
網路問題回報: https://net4help.ntu.edu.tw
資安研究團隊DEVCORE發現 PHP 程式語言存在重大層級的遠端程式碼執行(RCE)漏洞,CGI參數有可能被用於注入攻擊(CVE-2024-4577),有鑑於PHP使用之廣泛性,影響範圍也較大,官方已於2024/06/06 發佈修復版本。TellYouThePass Ransomware 加密勒索病毒家族卻利用此漏洞攻擊有弱點的網站,於端午節連假的第一天爆發許多網站遭加密勒索,以迅雷不及掩耳之速度攻擊網站,造成網站管理者還來不及修復,隨即失去系統及資料的控制權。
漏洞描述
PHP程式語言忽略 Windows 作業系統內部對字元編碼轉換的特性,未經身分鑑別之遠端攻擊者可透過特定字元序列繞過原本因應CVE-2012-1823弱點修補的防護措施,透過參數注入或其他手法,於遠端PHP伺服器上執行任意程式碼。
影響範圍
漏洞影響所有Windows版本的PHP8.3.8 (不含)以下版本8.2.20 (不含)以下版本8.1.29 (不含)以下版本8.0分支所有版本7所有版本
除此之外,所有版本的 XAMPP for Windows預設安裝也遭受此弱點影響。
修補建議
建議所有管理者升級至 PHP 官方最新版本 8.3.8、8.2.20 與 8.1.29,對於無法升級的系統可透過下列方式暫時緩解弱點。建議評估遷移至較為安全的 Mod-PHP、FastCGI 或是 PHP-FPM 等架構的可能性。
若無法更新PHP,可參考以下緩解方式: https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/#1-%E5%B0%8D%E7%84%A1%E6%B3%95%E6%9B%B4%E6%96%B0-php-%E7%9A%84%E4%BD%BF%E7%94%A8%E8%80%85
如使用XAMPP for Windows版本,可參考以下緩解說明:
https://devco.re/blog/2024/06/06/security-alert-cve-2024-4577-php-cgi-argument-injection-vulnerability/#2-%E5%B0%8D-xampp-for-windows-%E4%BD%BF%E7%94%A8%E8%80%85
參考資料