Clicky

Nueva vulnerabilidad PHP expone servidores Windows a la ejecución remota de código

módulos de PHP

Se recomienda que los administradores se alejen por completo del obsoleto PHP CGI

Han surgido detalles sobre una nueva falla de seguridad crítica que afecta a PHP y que podría explotarse para lograr la ejecución remota de código en determinadas circunstancias.

La vulnerabilidad, rastreada como CVE-2024-4577, ha sido descrita como una vulnerabilidad de inyección de argumentos CGI que afecta a todas las versiones de PHP instaladas en el sistema operativo Windows.

Según el investigador de seguridad DEVCORE, la deficiencia permite eludir las protecciones implementadas para otro fallo de seguridad, CVE-2012-1823.

"Mientras implementaba PHP, el equipo no notó la función Best-Fit de conversión de codificación dentro del sistema operativo Windows", dijo el investigador de seguridad Orange Tsai.

"Esta supervisión permite a atacantes no autenticados eludir la protección anterior de CVE-2012-1823 mediante secuencias de caracteres específicas. Se puede ejecutar código arbitrario en servidores PHP remotos mediante el ataque de inyección de argumentos".

Tras la divulgación responsable el 7 de mayo de 2024, se puso a disposición una solución para la vulnerabilidad en las versiones de PHP 8.3.8, 8.2.20 y 8.1.29.

DEVCORE ha advertido que todas las instalaciones de XAMPP en Windows son vulnerables de forma predeterminada cuando se configuran para usar las configuraciones regionales de chino tradicional, chino simplificado o japonés.

La empresa taiwanesa también recomienda que los administradores se alejen por completo del obsoleto PHP CGI y opten por una solución más segura como Mod-PHP, FastCGI o PHP-FPM.

"Esta vulnerabilidad es increíblemente simple, pero eso es también lo que la hace interesante", dijo Tsai. "¿Quién hubiera pensado que un parche, que ha sido revisado y demostrado ser seguro durante los últimos 12 años, podría pasarse por alto debido a una característica menor de Windows?"

La Fundación Shadowserver, en una publicación compartida en X, dijo que ya detectó intentos de explotación relacionados con la falla en sus servidores honeypot dentro de las 24 horas posteriores a la divulgación pública.

watchTowr Labs dijo que pudo diseñar un exploit para CVE-2024-4577 y lograr la ejecución remota de código, lo que hace imperativo que los usuarios actúen rápidamente para aplicar los últimos parches.

"Un error desagradable con un exploit muy simple", dijo la investigadora de seguridad Aliz Hammond.

"Se insta a aquellos que ejecutan una configuración afectada en una de las configuraciones regionales afectadas (chino simplificado o tradicional o japonés) a que lo hagan lo más rápido posible, ya que el error tiene una alta probabilidad de ser explotado en masa debido a la baja complejidad del exploit".

Jesus_Caceres