Yönetişim ve Risk Yönetimi, Yama Yönetimi, Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VA/PT)
Uzaktan Kod Yürütme Açıklarından Yararlanma Bulundu; Yama Artık Kullanılabilir
Prajeet Nair (@prajeetspeaks) •
8 Haziran 2024
Sunucu yöneticileri, Windows için PHP’deki, sürüm 5.x’ten bu yana tüm sürümleri etkileyen ve yaygın bir tehdit oluşturan kritik bir uzaktan kod yürütme güvenlik açığını düzeltmek için derhal harekete geçmelidir.
Ayrıca bakınız: Talep Üzerine En Çok Kullanılabilen Güvenlik Açıklarını İlk Önce ve Hızlı Bir Şekilde Düzeltirim
DEVCORE’daki araştırmacılar, sürekli saldırı araştırması sırasında CVE-2024-4577 olarak tanımlanan kusuru keşfetti. Bu güvenlik açığı, kimliği doğrulanmamış saldırganların belirli karakter dizilerinden yararlanarak CVE-2012-1823 ile ilgili korumaları atlamasına olanak tanıyor.
Windows’un kodlama dönüştürmesinin En İyi Uyum özelliğindeki bu kusur, saldırganların argüman ekleme saldırısı yoluyla uzak PHP sunucularında rastgele kod yürütmesine olanak tanır.
Etkilenen PHP sürümleri şunlardır:
- PHP 8.3 < 8.3.8
- PHP 8.2 < 8.2.20
- PHP 8.1 < 8.1.29
Araştırmacılar, PHP’nin artık desteklenmeyen 8.0, 7 ve 5 dahil eski dallarının da etkilendiği konusunda uyardı. DEVCORE, sunucu yöneticilerine sistemlerini değerlendirmelerini ve önerilen yamaları hemen uygulamalarını tavsiye eder.
PHP’yi Windows’ta Geleneksel Çince (Kod Sayfası 950), Basitleştirilmiş Çince (Kod Sayfası 936) ve Japonca (Kod Sayfası 932) olarak çalıştıran sunucular özellikle savunmasızdır.
Danışma belgesinde İngilizce, Korece ve Batı Avrupa’daki Windows sunucularının kötüye kullanılabileceğini ve yöneticilerin kapsamlı değerlendirmeler yapması ve güncellemeleri uygulaması gerektiği belirtildi.
Araştırmacılar bu güvenlik açığından nasıl yararlanılabileceğine dair iki senaryoyu gösterdiler: PHP’nin CGI modunda çalıştırılması veya PHP ikili dosyasının açığa çıkarılması.
PHP’yi CGI modunda çalıştırmak için: HTTP isteklerini Apache HTTP Sunucusundaki PHP-CGI çalıştırılabilir ikili dosyasına eşleyen yapılandırmalar doğrudan etkilenir. Bu, AddHandler cgi-script .php ve SetHandler application/x-httpd-php-cgi gibi direktifleri içeren kurulumları içerir.
Bu tür yapılandırmalarda güvenlik açığı, saldırganların PHP-CGI yürütülebilir dosyasından doğrudan yararlanmasına olanak tanır ve potansiyel olarak sunucuda rastgele kod yürütülmesine yol açar.
Saldırganlar, Windows’un kodlama dönüşümündeki güvenlik açığından yararlanarak PHP yorumlayıcısına kötü amaçlı kod enjekte etmek için HTTP isteklerini manipüle edebilir.
İkinci senaryoda, PHP ikili dosyası açığa çıkarıldığında: PHP çalıştırılabilir ikili dosyasının açığa çıktığı Windows için XAMPP’deki varsayılan yapılandırmalar, doğası gereği savunmasızdır. Tipik senaryolar arasında php.exe veya php-cgi.exe dosyasının /cgi-bin/ dizinine kopyalanması veya PHP dizininin ScriptAlias yönergesi aracılığıyla açığa çıkarılması yer alır.
Bu senaryolarda, PHP çalıştırılabilir dosyası erişilebilir ve savunmasızsa, saldırganlar PHP yorumlayıcısı aracılığıyla isteğe bağlı kod yürütmek için HTTP istekleri oluşturabilir. Bu yöntem, Windows’un PHP içindeki kodlama dönüşümündeki gözetimden yararlanarak sunucuda yetkisiz kod yürütülmesine izin verir.
DEVCORE araştırmacıları, bu güvenlik açığını azaltmak için en son PHP sürümlerine yükseltme yapmanızı tavsiye ediyor: 8.3.8, 8.2.20 ve 8.1.29. Yükseltilemeyen sistemler için geçici etki azaltma önlemleri, etkilenen bölgelerdeki saldırı vektörlerini engellemek için belirli ‘Yeniden Yazma Kuralları’nın uygulanmasını içerir.
XAMPP kullanıcıları, gerekli değilse PHP-CGI özelliğini devre dışı bırakmalıdır. Bu, httpd-xampp.conf yapılandırma dosyasındaki ScriptAlias satırını yorumlayarak yapılabilir.
DEVCORE, sorunu 7 Mayıs’ta PHP geliştiricilerine bildirdi ve PHP geliştiricileri güvenlik açığını doğruladı ve bir düzeltmeye öncelik verdi. Düzeltmenin birden fazla sürümünü yayımladılar ve 6 Haziran’da son yamalı sürümleri güncellediler.