Vulnérabilité PHP exposant les serveurs Windows : le commentaire de Tenable
juin 2024 par Scott Caveza, Senior Research Manager, Security Response Team et Zero-Day Research Team, chez Tenable
Vendredi dernier, des chercheurs ont révélé une vulnérabilité critique affectant les installations PHP et ont fourni un proof-of-concept du code d’exploitation, qui pourrait conduire à une exécution de code à distance. Le commentaire de Scott Caveza, staff research engineer chez Tenable :
"CVE-2024-4577 est une vulnérabilité critique d’injection d’arguments dans PHP qui peut être exploitée pour réaliser une exécution de code à distance (RCE). CVE-2024-4577 est un contournement du correctif CVE-2012-1823, une vulnérabilité corrigée dans les versions 5.13.12 et 5.4.2 de PHP.
En réalité, il existe une variété de scripts d’exploitation pour CVE-2012-1823 et nous savons que cette vulnérabilité a été exploitée in the wild, car elle a été ajoutée à la liste CISA des vulnérabilités exploitées connues (KEV) le 25 mars 2022. Les attaquants disposent essentiellement d’une partie d’un guide étape par étape pour exploiter la CVE-2024-4577 avec un code d’exploitation disponible publiquement.
PHP est utilisé partout, mais CVE-2024-4577 a un impact sur les installations sous Windows en particulier. Si le rapport est exact, alors XAMPP, qui est l’une des solutions de serveur web les plus couramment utilisées, est vulnérable par défaut. Cela est dû au fait que le binaire PHP (php.exe ou php-cgi.exe) se trouve dans un répertoire accessible depuis le web. Dans les cas où le binaire PHP n’est pas exposé, il existe toujours un risque si PHP est exécuté avec le mode CGI activé.
L’utilisation généralisée de PHP sur Internet se traduit par une surface d’attaque considérable. Bien que les dépendances puissent réduire le nombre d’actifs touchés, nous recommandons toujours de mettre à jour et d’appliquer des mesures d’atténuation lorsque l’installation de la dernière version n’est pas possible, ce qui constitue une priorité urgente. Comme nous le constatons bien trop souvent, les attaquants sont opportunistes et cette attaque étant extrêmement facile à exploiter, elle continuera à gagner en popularité et à être utilisée contre des cibles non corrigées."