Deze liveblog bevat informatie over de PHP CGI Argument Injection kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 11 juni 2024.
Update 12 juni
Deze week is een proof of concept gepubliceerd die nu actief wordt misbruikt. Uit onderzoek van het T-CERT blijkt dat meer dan 70 servers in Nederland kwetsbaar zijn voor deze exploit. Ook zijn er malwarecampagnes gezien die actief misbruik maken van deze kwetsbaarheid, wat het belang van patching nogmaals onderschrijft.
Achtergond
Een ernstige kwetsbaarheid is ontdekt in de PHP CGI (Common Gateway Interface) implementatie, waarbij ongeauthenticeerde aanvallers speciale argumenten kunnen injecteren via de URL. Dit kan leiden tot de uitvoering van willekeurige code op Windows-servers. Het probleem ontstaat doordat de PHP CGI op een onveilige manier omgaat met argumenten, waardoor het mogelijk is om commando’s in te voeren die door de server worden uitgevoerd.
CVE-2024-4577 heeft een CVSS-score van 9.8. Dit duidt op een hoog risico op misbruik en ernstige impact.
Risico
Deze kwetsbaarheid treft alle PHP-versies op Windows-systemen, met name:
- PHP 8.3 < 8.3.8
- PHP 8.2 < 8.2.20
- PHP 8.1 < 8.1.29
Aanvallers kunnen servers compromitteren, wat kan leiden tot volledige controle over het systeem. Vooral standaard XAMPP-configuraties en specifieke Windows-configuraties zijn kwetsbaar.
Advies
De beste manier om deze kwetsbaarheid te mitigeren is door te updaten naar de nieuwste PHP-versies (PHP 8.3.8, 8.2.20, en 8.1.29).
Voor systemen die niet onmiddellijk kunnen worden bijgewerkt, wordt aangeraden tijdelijke rewrite-regels in te stellen die gevaarlijke URL-patronen blokkeren.
Het gebruik van veiligere architecturen zoals Mod-PHP of PHP-FPM biedt een structurele oplossing, omdat deze niet dezelfde kwetsbaarheden delen als de CGI-implementatie. Deze stappen helpen voorkomen dat aanvallers misbruik maken van de kwetsbaarheid en zorgen voor een veiligere serveromgeving.
Aanmelden
Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates
Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.