Kritik PHP CVE saldırı altında; araştırmalar istismarın kolay olduğunu gösteriyor


Dalış Özeti:

  • Devcore araştırmacıları, PHP’deki kritik argüman ekleme güvenlik açığının, uzaktan kod yürütmeyi gerçekleştirmek için istismar edilebileceği konusunda uyarıyorlar. Güvenlik açığı, Windows işletim sisteminde yüklü olan tüm PHP sürümlerini etkilemektedir. araştırmacılar geçen hafta söyledi.
  • Olarak listelenen güvenlik açığı CVE-2024-45779,8 CVSS puanına sahiptir ve bir saldırganın etkilenen sistemi ele geçirmesine olanak sağlayabilir, Censys’teki araştırmacılara göre.
  • Censys, başta ABD ve Almanya olmak üzere 458.000’den fazla potansiyel olarak savunmasız örnek tespit etti, ancak rakamlar potansiyel etkiyi olduğundan fazla tahmin ediyor olabilir. Araştırmacılar Shadowserver birden fazla IP bildirdi Honeypot sensörlerine karşı güvenlik açığını test ediyor.

Dalış Bilgisi:

Devcore, güvenlik açığını ilk olarak saldırgan bir araştırma yürütürken keşfetti. Web ekosisteminde PHP’nin yaygın kullanımı nedeniyle kusuru kritik olarak sınıflandırdılar.

Güvenlik açığı, Censys’e göre Windows’un “en iyi uyum” özelliğini etkileyen karakter kodlama dönüşümlerindeki hataların sonucudur. Güvenlik açığı daha eski bir kusurla bağlantılıdır. CVE-2012-1823Neresi Saldırganlar önceki korumaları atlayabildiDevcore bulundu.

“CVE-2024-4577 için potansiyel tehdit, kimliği doğrulanmamış uzak bir saldırganın internete açık bir web sunucusunda rastgele PHP kodu çalıştırabilmesi ve bunu yaparken de hedef sistemde rastgele kod çalıştırabilmesidir.” Stephen Fewer, Rapid7’nin baş güvenlik araştırmacısıe-posta yoluyla söyledi.

Daha az kişi, bir sunucunun saldırıya açık olması için birden fazla koşulun karşılanması gerektiği konusunda uyardı.

  • Temel neden, yerel ayara bağlı olarak Windows’un belirli dize karakterlerini nasıl dönüştürdüğünü içerdiğinden, bir web sunucusunun Windows üzerinde çalışıyor olması gerekir. Bu nedenle Linux üzerinde çalışan bir web sunucusu etkilenmeyecektir.
  • Web sunucusunun, geçen hafta güvenlik güncellemeleri yayınlanmadan önce PHP komut dosyası motorunun savunmasız bir sürümünü çalıştırıyor olması da gerekiyor.
  • PHP komut dosyası, web sunucusu tarafından CGI mekanizması aracılığıyla kullanıma sunulmalıdır.
  • Web sunucusunun Windows işletim sisteminin, sistem yerel ayarının, tire karakteriyle ilgili belirli bir dize karakteri dönüşümü gerçekleştiren bir kod sayfasını kullanacak şekilde ayarlanması gerekir. Japonca ve Çince sayfalar bu gereksinimi varsayılan olarak karşılamaktadır ancak diğer diller de bu durumdan etkilenir.

WatchTowr’daki araştırmacılar, en yeni kurulumlara yükseltme yapılması yönündeki tavsiyeyi yinelediler: bir blogda postalamak. WatchTowr Hatanın düşük karmaşıklığı nedeniyle istismar edilmesi çok kolay olduğundan, Çince ve Japonca dillerinde çalışan sürümlerin derhal yükseltilmesi gerektiğini söyledi. Risk hala devam ettiğinden, İngilizce dahil diğer dillerdeki sürümleri çalıştıranların da azaltıcı adımlar atması gerekiyor.

Imperva’daki araştırmacılar ABD ve Brezilya’da finansal hizmetlere, sağlık hizmetlerine ve diğer hedeflere yönelik binlerce saldırı görüldüğünü bildirdi. Pazartesi günü araştırmacılar güvenlik açığının ortadan kaldırıldığı konusunda uyardı fidye yazılımı sunmak için kullanıldı.





Source link