PHP verhelpt kritiek lek in Windowsversie dat RCE op server mogelijk maakt

[Captain Kirk]

PHP heeft updates uitgebracht waarmee een kritieke kwetsbaarheid (CVE-2024-4577) in de Windowsversie wordt verholpen die remote code execution (RCE) op de onderliggende server mogelijk maakt. Een ongeautoriseerde aanvaller kan willekeurige code op servers uitvoeren waar PHP in de CGI mode draait en de Chinese of Japanse taal is ingesteld. De bekende beveiligingsonderzoeker Orange Tsai, die het probleem ontdekte, waarschuwt dat Windowssystemen waarvoor een andere taal is ingesteld mogelijk ook risico kunnen lopen. Organisaties worden dan ook opgeroepen om naar de laatste PHP-versie te updaten.

In 2012 werd er een kwetsbaarheid (CVE-2012-1823) in PHP gevonden die het uitvoeren van willekeurige code mogelijk maakt. Het probleem werd gepatcht, maar door een feature van Windows voor het omzetten van karakters is het mogelijk om via bepaalde 'character sequences' de patch voor CVE-2012-1823 te omzeilen en wederom code op de server uit te voeren. De kwetsbaarheid werd op 7 mei aan het PHP-ontwikkelteam gerapporteerd en gisteren verschenen PHP 8.3.8, 8.2.20 en 8.1.29 waarin het probleem is verholpen.

Orange Tsai heeft geen exacte details gegeven hoe remote code execution mogelijk is, maar onderzoekers van securitybedrijf Watchtower hebben wel een blogposting gepubliceerd waarin ze het uitvoeren van code laten zien. De onderzoekers spreken van een 'nasty bug' en waarschuwen dat er een grote kans is dat er misbruik van zal worden gemaakt, vanwege de eenvoud waarmee dit mogelijk is. De Shadowserver Foundation meldt dat proof-of-concept exploitcode openbaar is en er inmiddels tests tegen de honeypotservers van de organisatie zijn waargenomen.

 

bron: https://www.security.nl