Des détails ont été révélés sur une nouvelle faille de sécurité critique affectant PHP qui pourrait être exploitée pour réaliser l’exécution de code à distance dans certaines circonstances.
La vulnérabilité, suivie comme CVE-2024-4577a été décrite comme une vulnérabilité d’injection d’arguments CGI affectant toutes les versions de PHP installées sur le système d’exploitation Windows.
Selon le chercheur en sécurité de DEVCORE, la faille permet de contourner les protections mises en place pour une autre faille de sécurité, CVE-2012-1823.
« Lors de l’implémentation de PHP, l’équipe n’a pas remarqué le Meilleur ajustement fonctionnalité de conversion d’encodage dans le système d’exploitation Windows », chercheur en sécurité Orange Tsai dit.
« Cet oubli permet à des attaquants non authentifiés de contourner la protection précédente de CVE-2012-1823 par des séquences de caractères spécifiques. Du code arbitraire peut être exécuté sur des serveurs PHP distants via l’attaque par injection d’arguments. »
Suite à une divulgation responsable le 7 mai 2024, un correctif pour le vulnérabilité a été mis à disposition dans PHP versions 8.3.8, 8.2.20 et 8.1.29.
DEVCORE a averti que toutes les installations XAMPP sous Windows sont vulnérables par défaut lorsqu’elles sont configurées pour utiliser le paramètres régionaux pour le chinois traditionnel, le chinois simplifié ou le japonais.
La société taïwanaise recommande également aux administrateurs d’abandonner complètement le PHP CGI obsolète et d’opter pour une solution plus sécurisée telle que Mod-PHP, FastCGI ou PHP-FPM.
« Cette vulnérabilité est incroyablement simple, mais c’est aussi ce qui la rend intéressante », a déclaré Tsai. dit. « Qui aurait pensé qu’un correctif, qui a été examiné et prouvé sécurisé au cours des 12 dernières années, pourrait être contourné en raison d’une fonctionnalité mineure de Windows ? »
La Fondation Shadowserver, dans un article partagé sur X, a déclaré avoir déjà détecté des tentatives d’exploitation impliquant la faille sur ses serveurs honeypot dans les 24 heures suivant la divulgation publique.
watchTowr Labs a déclaré avoir été capable de concevoir un exploit pour CVE-2024-4577 et de réaliser l’exécution de code à distance, ce qui rend impératif que les utilisateurs agissent rapidement pour appliquer les derniers correctifs.
« Un vilain bug avec un exploit très simple », chercheur en sécurité Aliz Hammond dit.
« Ceux qui fonctionnent dans une configuration affectée sous l’un des paramètres régionaux concernés – chinois (simplifié ou traditionnel) ou japonais – sont invités à le faire aussi vite que possible, car le bug a de fortes chances d’être exploité en masse en raison de la faible complexité de l’exploit. »