- A+
放假一回来 客户就打电话来反馈网站无法访问 文件都被加上了.locked 的后缀还有READ_ME9.html的比特币勒索信息后来查了下是 PHP 爆了严重漏洞 CVE-2024-4577可以远程执行任意代码影响 Windows 下所有 PHP 版本建议即时修补漏洞和备份服务器
一种新的适用于 Windows 的 PHP 远程代码执行 (RCE) 漏洞已被披露,影响自 5.x 版本以来的所有版本,可能影响全球大量服务器。
PHP 是一种广泛使用的开源脚本语言,专为 Web 开发而设计,常用于 Windows 和 Linux 服务器。
新的 RCE 漏洞 (CVE-2024-4577) 由 Devcore 首席安全研究员 Orange Tsai 于 2024 年 5 月 7 日发现,并报告给 PHP 开发人员。
PHP 项目维护人员昨天发布了补丁,解决了该漏洞。
然而,在如此大规模部署的项目中应用安全更新非常复杂,并且可能会导致大量系统在较长时间内容易受到攻击。
不幸的是,当影响许多设备的严重漏洞被披露时,威胁行为者和研究人员会立即开始尝试寻找易受攻击的系统。
CVE-2024-4577 就是这种情况,因为 Shadowserver 基金会已经检测到多个 IP 地址正在扫描易受攻击的服务器。
CVE-2024-4577 漏洞
CVE-2024-4577 缺陷是由于处理字符编码转换时的疏忽造成的,特别是当 PHP 在 CGI 模式下使用时 Windows 上的“最佳拟合”功能。
DevCore 的一份咨询报告解释道:“在实施 PHP 时,团队没有注意到 Windows 操作系统内编码转换的最佳适配功能。”
“这一疏忽使得未经身份验证的攻击者能够通过特定字符序列绕过CVE-2012-1823的先前保护 。通过参数注入攻击,可以在远程 PHP 服务器上执行任意代码。”
该漏洞绕过了 PHP 团队过去针对CVE-2012-1823实施的保护措施,该漏洞在修复几年后仍被恶意软件攻击所利用。
分析师解释道,即使 PHP 未配置为 CGI 模式,只要 PHP 可执行文件(例如 php.exe 或 php-cgi.exe)位于 Web 服务器可访问的目录中,CVE-2024-4577 仍然可能被利用。
由于这是 Windows 版 XAMPP 的默认配置,DEVCORE 警告称,Windows 上的所有 XAMPP 安装都可能存在漏洞。
当使用某些更容易受到此编码转换缺陷影响的语言时,问题会变得更加严重,包括繁体中文、简体中文和日语。
正如 Devcore 所说,CVE-2024-4577 漏洞会影响 Windows 上所有版本的 PHP,如果您使用的是 PHP 8.0(生命周期结束)、PHP 7.x(EoL)或 PHP 5.x(EoL),则需要升级到较新版本或使用下面描述的缓解措施。
补救策略
使用受支持的 PHP 版本的用户应升级到包含补丁的版本:PHP 8.3.8、PHP 8.2.20 和 PHP 8.1.29。
对于无法立即升级的系统和 EoL 版本的用户,建议应用 mod_rewrite 规则来阻止攻击,如下所示:
RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? – [F,L]
如果您使用 XAMPP 并且不需要 PHP CGI 功能,请在 Apache 配置文件中找到“ScriptAlias”指令(通常位于“C:/xampp/apache/conf/extra/httpd-xampp.conf”)并将其注释掉。
管理员可以使用 phpinfo() 函数并检查输出中的“服务器 API ”值来确定他们是否使用 PHP-CGI。
DEVCORE 还建议系统管理员考虑从 CGI 迁移到更安全的替代方案,如 FastCGI、PHP-FPM 和 Mod-PHP。
- 微信 wzgj360
- 联系免费答疑
- QQ 613049615
- 联系免费答疑