Skip to main content
Nu hulp nodig bij een cyberincident?
Bel 24/7: 088-2747800

PHP CGI Argument Injection kwetsbaarheid

Door 11 juni 2024 CERT, SOC, Kwetsbaarheid

Deze liveblog bevat informatie over de PHP CGI Argument Injection kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 11 juni 2024.

Update 12 juni

Deze week is een proof of concept gepubliceerd die nu actief wordt misbruikt. Uit onderzoek van het T-CERT blijkt dat meer dan 70 servers in Nederland kwetsbaar zijn voor deze exploit. Ook zijn er malwarecampagnes gezien die actief misbruik maken van deze kwetsbaarheid, wat het belang van patching nogmaals onderschrijft.

Achtergond

Een ernstige kwetsbaarheid is ontdekt in de PHP CGI (Common Gateway Interface) implementatie, waarbij ongeauthenticeerde aanvallers speciale argumenten kunnen injecteren via de URL. Dit kan leiden tot de uitvoering van willekeurige code op Windows-servers. Het probleem ontstaat doordat de PHP CGI op een onveilige manier omgaat met argumenten, waardoor het mogelijk is om commando’s in te voeren die door de server worden uitgevoerd.

CVE-2024-4577 heeft een CVSS-score van 9.8. Dit duidt op een hoog risico op misbruik en ernstige impact.

Risico

Deze kwetsbaarheid treft alle PHP-versies op Windows-systemen, met name:

  • PHP 8.3 < 8.3.8
  • PHP 8.2 < 8.2.20
  • PHP 8.1 < 8.1.29

Aanvallers kunnen servers compromitteren, wat kan leiden tot volledige controle over het systeem. Vooral standaard XAMPP-configuraties en specifieke Windows-configuraties zijn kwetsbaar.

Advies

De beste manier om deze kwetsbaarheid te mitigeren is door te updaten naar de nieuwste PHP-versies (PHP 8.3.8, 8.2.20, en 8.1.29).

Voor systemen die niet onmiddellijk kunnen worden bijgewerkt, wordt aangeraden tijdelijke rewrite-regels in te stellen die gevaarlijke URL-patronen blokkeren.

Het gebruik van veiligere architecturen zoals Mod-PHP of PHP-FPM biedt een structurele oplossing, omdat deze niet dezelfde kwetsbaarheden delen als de CGI-implementatie. Deze stappen helpen voorkomen dat aanvallers misbruik maken van de kwetsbaarheid en zorgen voor een veiligere serveromgeving.

Bronnen

Aanmelden

Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates

Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.

Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.

Close Menu