Kritik PHP Uzaktan Kod Yürütme Kusuru, Saldırganların Kötü Amaçlı Komut Dosyaları Eklemesine İzin Veriyor

   Haziran 7, 2024  Posted in CyberSecurityNews


Kritik PHP Uzaktan Kod Yürütme Kusuru, Saldırganların Kötü Amaçlı Komut Dosyaları Eklemesine İzin Veriyor

Yaygın olarak kullanılan PHP programlama dili, kritik önemde olduğu düşünülen yeni bir uzaktan kod yürütme güvenlik açığıyla keşfedildi.

Ayrıca, bu güvenlik açığı daha önce keşfedilen ve yamalanan CVE-2012-1823 güvenlik açığıyla ilişkili olup, isteğe bağlı kod yürütmeyle ilişkilidir.

Ancak PHP, 6 Haziran 2024 itibarıyla bu güvenlik açığını yamalamış ve gerekli güvenlik önerileri yayınlanmıştır. Bu güvenlik açığı, PHP 5, PHP 7 ve PHP 8.0 gibi kullanım ömrü sonu sürümleri de dahil olmak üzere PHP’nin birden çok sürümünü etkiler.

PHP Uzaktan Kod Yürütme Kusuru

Paylaşılan danışma belgesine göre, bu güvenlik açığı, Windows İşletim Sisteminde kodlama konuşmasının En İyi Uyum özelliğindeki fark edilmeyen bir kusurdan kaynaklanmaktadır.

With ANYRUN You can Analyze any URL, Files & Email for Malicious Activity : Start your Analysis

Bu kusur, tehdit aktörlerinin CVE-2012-1823 korumasını atlamalarına ve belirli karakter dizileri aracılığıyla uzaktan kod yürütmelerine olanak tanıyor. Ayrıca, isteğe bağlı kod, uzak PHP sunucusunda bir argüman ekleme saldırısı yoluyla yürütülür.

Daha ayrıntılı açıklamak gerekirse, iki yararlanma senaryosu vardır: PHP’yi CGI modunda çalıştırmak ve PHP ikili dosyasını varsayılan XAMPP yapılandırmasıyla birlikte açığa çıkarmak.

PHP’yi CGI modunda çalıştırmanın ilk senaryosu, Action yönergesinin, karşılık gelen HTTP isteklerini Apache HTTP sunucusundaki PHP-CGI yürütülebilir ikili dosyasına eşleyecek şekilde yapılandırılmasını içerir.

Bu yararlanma senaryosu doğrudandır ve aşağıdakileri içeren ortak yapılandırmaları etkiler:

AddHandler cgi-komut dosyası .php
Eylem cgi-komut dosyası “/cgi-bin/php-cgi.exe”
veya

SetHandler uygulaması/x-httpd-php-cgi

Eylem uygulaması/x-httpd-php-cgi “/php-cgi/php-cgi.exe”

PHP ikili dosyasını açığa çıkarmaya yönelik ikinci senaryoda, PHP CGI modu ile yapılandırılmamış olsa bile, CGI dizininde açıkta kalan PHP ikili dosyası çalıştırılabilir dosya istismara karşı savunmasızdır. Bu sömürünün gerçekleşmesi için sömürüyü mümkün kılan iki koşul vardır.

  1. Php.exe veya php-cgi.exe dosyasını /cgi-bin/ dizinine kopyalama.
  2. PHP dizinini ScriptAlias ​​direktifi aracılığıyla kullanıma sunmak, örneğin:

ScriptAlias ​​​​/php-cgi/ “C:/xampp/php/”

Nasıl Düzeltilir?

Bu güvenlik açığını gidermek için kullanıcıların PHP sürümlerini güvenlik açığına sahip olacak 8.3.8, 8.2.20 ve 8.1.29 gibi en son sürümlere yükseltmeleri önerilir. Yükseltme mümkün değilse iki geçici çözüm izlenebilir.

1. PHP Yükseltilemiyor

Saldırıları engellemek için aşağıdaki yeniden yazma kuralları kullanılabilir.

Yeniden Yazma Motoru Açık
RewriteCond %{QUERY_STRING} ^%ad [NC]
Kuralı Yeniden Yaz. – [F,L]

2. Windows için XAMPP’yi Kullanma:

Bu güvenlik açığına karşılık gelen resmi bir güncelleme dosyası bulunmadığından, PHP CGI özelliğine ihtiyaç duyulmuyorsa, maruz kalmanın önlenmesi için Apache HTTP sunucusu yapılandırması aşağıdaki yapılandırmayla değiştirilebilir.

C:/xampp/apache/conf/extra/httpd-xampp.conf

İlgili Çizgileri Bulma:

ScriptAlias ​​​​/php-cgi/ “C:/xampp/php/”

Ve bunu yorumlayın:

# ScriptAlias ​​​​/php-cgi/ “C:/xampp/php/”

Bu güvenlik açığından etkilenen PHP sürümleri şunları içerir:

  • PHP 8.3 < 8.3.8
  • PHP 8.2 < 8.2.20
  • PHP 8.1 < 8.1.29

ve PHP 8.0, PHP 7 ve PHP 5 gibi Kullanım Ömrü Sonu ürünleri.

Tehdit aktörlerinin bu güvenlik açığından yararlanmasını önlemek için bu PHP sürümlerinin kullanıcılarının en son PHP sürümlerine yükseltmeleri önerilir.

Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo 



Source link