Découvrez la faille de sécurité critique PHP-CGI sur Windows et comment vous protéger
Une nouvelle faille de sécurité critique a été découverte dans PHP : CVE-2024-4577 ! En l’exploitant, un attaquant peut exécuter du code malveillant à distance sur le serveur Windows utilisé en tant que serveur Web. Faisons le point sur cette menace.
Vulnérabilité critique dans PHP : CVE-2024-4577
L’équipe de développement de PHP a corrigé plusieurs failles de sécurité dans son moteur de scripts PHP. L’une de ces vulnérabilités, associées à la référence CVE-2024-4577 mérite une attention particulière.
Découverte par un chercheur en sécurité, cette vulnérabilité d’injection d’arguments dans CGI affecte toutes les versions de PHP lorsqu’installées sur un serveur Windows. Toutes les versions de PHP, de la 5.X à la dernière version 8.3.X sont vulnérables. Le problème est que de nombreuses versions ne sont plus prises en charge et ne pourront pas bénéficier d’un correctif de sécurité.
“Lors de l’implémentation de PHP, l’équipe n’a pas remarqué la fonctionnalité Best-Fit de conversion d’encodage dans le système d’exploitation Windows. Cette omission permet à des attaquants non authentifiés de contourner la protection précédente de CVE-2012-1823 par des séquences de caractères spécifiques.”, précise le chercheur en sécurité dans son rapport.
Qui est vulnérable à cette faille de sécurité ?
Au-delà de la version de PHP utilisée, pour être vulnérable à la faille de sécurité CVE-2024-4577, le moteur de scripts PHP doit être utilisé sur Windows. Cette vulnérabilité affecte plusieurs configurations possibles, notamment les serveurs XAMPP, les serveurs IIS, et WAMP.
Cette vulnérabilité est liée à PHP-CGI, mais peut être exploitée même si PHP n’est pas configuré en mode CGI. Les exécutables PHP doivent simplement être stockés dans des répertoires accessibles par le serveur web.
Le problème de sécurité est exploitable lorsque certaines “locales” sont utilisées dans la configuration de PHP : chinois traditionnel, chinois simplifié et japonais.
Comment se protéger de la CVE-2024-4577 ?
Le meilleur moyen de se protéger de cette vulnérabilité est de passer sur les dernières versions de PHP. Si la mise à jour n’est pas possible, une règle de réécriture d’URL permet de bloquer les attaques. Par ailleurs, si vous êtes certain de ne pas utiliser PHP-CGI, désactivez la fonctionnalité sur votre serveur Web dans XAMPP.
Un exploit PoC est déjà disponible. Mettez à jour si possible pour vous protéger de cette menace.
Source : www.it-connect.fr