В PHP е открита опасна уязвимост, която улеснява заразяването на Windows-компютри с вируси
XAMPP и други уеб сървъри на PHP са обект на хакерски офанзиви. Неотдавна специалисти по киберсигурност оповестиха за сериозна накърнимост в известния език за програмиране PHP, която разрешава на нападателите да извършват от разстояние злотворен код на устройства с Windows. Уязвимостта е разпозната като CVE-2024-4577.
Според специалистите е доста елементарно да се употребява тази накърнимост заради вградената в Windows функционалност Best Fit, която погрешно преобразува някои Unicode знаци в PHP.
Нападателите могат да употребяват метода за инжектиране на причини, с цел да принудят интерпретатора на PHP да извършва случайни команди, оповестява Ars Technica. Уязвимостта визира версии на PHP, работещи в режим CGI, при който уеб сървърът предава HTTP поръчки на PHP интерпретатора за обработка. Въпреки това, даже и да не се употребява режим CGI, могат да бъдат атакувани съоръжения на PHP с външно налични двоични файлове на интерпретатора. Тази настройка е позволена по дифолт в известния XAMPP пакет за Windows.
Изследователите демонстрираха по какъв начин нападателят може да трансформира безобидна HTTP поръчка в команда за пускане на PHP интерпретатора с спомагателни причини, които разрешават отдалечено осъществяване на PHP код от тялото на поръчката. Изпълнението на аргумента „ -d allow_url_include=1 -d auto_prepend_file=php://input “ ще одобри следния вход:
POST /test.php?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input HTTP/1.1 Host: {{host}} User-Agent: curl/8.3.0 Accept: */* Content-Length: 23 Content-Type: application/x-www-form-urlencoded Connection: keep-aliveСтраницата phpinfo.php би трябвало да се появи, с цел да удостовери, че RCE задачата е реализирана. По този метод се заобикаля отбраната против сходна накърнимост от 2012 година (CVE-2012-1823).
След като бяха оповестени детайлностите за уязвимостта, организацията Shadowserver стартира да сканира интернет и откри хиляди уязвими сървъри. Като се има поради простотата на офанзивата, евентуалната заплаха и необятното потребление на PHP, специалистите предлагат на админите незабавно да конфигурират кръпка, с цел да избегнат евентуални офанзиви.
Уязвимостта е открита от Orange Tsai от Devcore като част от одит на сигурността на PHP. Според него, макар своята баналност, уязвимостта съставлява огромен интерес за проучвания. Разработчиците на PHP разгласиха корекция още същия ден след отчета – четвъртък, 6 юни.
