Un nuovo difetto di sicurezza critico è stato rilevato nel linguaggio di scripting PHP, mettendo potenzialmente a rischio milioni di server in tutto il mondo.
La vulnerabilità, identificata come CVE-2024-4577, è stata scoperta dal noto ricercatore di sicurezza di Devcore, Orange Tsai, e colpisce tutte le versioni di PHP per Windows dalla versione 5.x in poi.
Indice degli argomenti
La nuova minaccia CVE-2024-4577
La vulnerabilità CVE-2024-4577 è causata da un errore nella gestione delle conversioni di codifica dei caratteri, in particolare la funzionalità ‘Best-Fit’ su Windows quando PHP è utilizzato in modalità CGI.
Questo difetto consente agli aggressori non autenticati di eseguire codice arbitrario sui server PHP remoti attraverso attacchi di injection dell’argomento.
L’avviso di sicurezza pubblicato da Devcore spiega che, durante l’implementazione di PHP, il team non ha notato la funzionalità ‘Best-Fit’ della conversione della codifica all’interno del sistema operativo Windows, permettendo così di aggirare le protezioni precedenti implementate per CVE-2012-1823.
Di conseguenza, la nuova vulnerabilità consente di bypassare queste protezioni tramite sequenze di caratteri specifiche.
Impatto e rischi della vulnerabilità in PHP per Windows
Nonostante l’immediata pubblicazione di una patch correttiva da parte dei manutentori del progetto PHP, l’applicazione degli aggiornamenti di sicurezza su larga scala è complessa.
Questo potrebbe lasciare un numero significativo di sistemi vulnerabili agli attacchi per periodi prolungati. La Shadowserver Foundation ha già rilevato un aumento delle scansioni di server vulnerabili da parte di attori malevoli.
La vulnerabilità colpisce tutte le versioni di PHP per Windows, incluse quelle ormai fuori supporto come PHP 8.0, PHP 7.x e PHP 5.x.
È quindi fondamentale aggiornare immediatamente a versioni che incorporano le patch: PHP 8.3.8, PHP 8.2.20 e PHP 8.1.29. Tuttavia, molte installazioni potrebbero ancora restare esposte.
Misure di mitigazione
Per i sistemi che non possono essere aggiornati immediatamente, Devcore suggerisce alcune soluzioni temporanee. Una delle misure consigliate è l’applicazione di una regola mod_rewrite per bloccare gli attacchi, come mostrato nell’immagine sottostante.
Inoltre, gli utenti di XAMPP che non necessitano della funzionalità PHP CGI dovrebbero commentare la direttiva ‘ScriptAlias’ nel file di configurazione di Apache (solitamente situato in ‘C:/xampp/apache/conf/extra/httpd-xampp.conf’).
Utili raccomandazioni di sicurezza
Devcore raccomanda inoltre agli amministratori di sistema di considerare la migrazione da CGI a soluzioni più sicure, buona pratica nota già da tempo nello sviluppo di progetti PHP, come FastCGI, PHP-FPM e Mod-PHP.
Gli amministratori possono verificare se stanno utilizzando PHP-CGI tramite la funzione phpinfo() e controllando il valore ‘Server API’ nell’output.
La scoperta di CVE-2024-4577 sottolinea l’importanza della vigilanza continua e dell’aggiornamento tempestivo dei sistemi per proteggere le infrastrutture digitali dagli attacchi. Gli amministratori di sistema e gli sviluppatori PHP sono fortemente incoraggiati a prendere misure immediate per mitigare i rischi e proteggere i loro server da potenziali exploit.
Mentre il mondo della sicurezza informatica continua a evolversi, la cooperazione tra ricercatori, sviluppatori e amministratori di sistema rimane cruciale per affrontare le nuove minacce e mantenere sicure le reti globali.
