Kwetsbaarheid

PHP CGI Argument Injection kwetsbaarheid

Deze liveblog bevat informatie over de PHP CGI Argument Injection kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst.

T-Update

Informatie over kwetsbaarheden

Deze liveblog bevat informatie over de PHP CGI Argument Injection kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst. Laatste update op 11 juni 2024.

Update 12 juni

Deze week is een proof of concept gepubliceerd die nu actief wordt misbruikt. Uit onderzoek van het T-CERT blijkt dat meer dan 70 servers in Nederland kwetsbaar zijn voor deze exploit. Ook zijn er malwarecampagnes gezien die actief misbruik maken van deze kwetsbaarheid, wat het belang van patching nogmaals onderschrijft.

Cyberveiligheid op maat

Achtergrond

Een ernstige kwetsbaarheid is ontdekt in de PHP CGI (Common Gateway Interface) implementatie, waarbij ongeauthenticeerde aanvallers speciale argumenten kunnen injecteren via de URL. Dit kan leiden tot de uitvoering van willekeurige code op Windows-servers. Het probleem ontstaat doordat de PHP CGI op een onveilige manier omgaat met argumenten, waardoor het mogelijk is om commando’s in te voeren die door de server worden uitgevoerd.CVE-2024-4577 heeft een CVSS-score van 9.8. Dit duidt op een hoog risico op misbruik en ernstige impact.

Risico

Deze kwetsbaarheid treft alle PHP-versies op Windows-systemen, met name:

  • PHP 8.3 < 8.3.8
  • PHP 8.2 < 8.2.20
  • PHP 8.1 < 8.1.29

Aanvallers kunnen servers compromitteren, wat kan leiden tot volledige controle over het systeem. Vooral standaard XAMPP-configuraties en specifieke Windows-configuraties zijn kwetsbaar.

Advies

De beste manier om deze kwetsbaarheid te mitigeren is door te updaten naar de nieuwste PHP-versies (PHP 8.3.8, 8.2.20, en 8.1.29).

Voor systemen die niet onmiddellijk kunnen worden bijgewerkt, wordt aangeraden tijdelijke rewrite-regels in te stellen die gevaarlijke URL-patronen blokkeren.

Het gebruik van veiligere architecturen zoals Mod-PHP of PHP-FPM biedt een structurele oplossing, omdat deze niet dezelfde kwetsbaarheden delen als de CGI-implementatie. Deze stappen helpen voorkomen dat aanvallers misbruik maken van de kwetsbaarheid en zorgen voor een veiligere serveromgeving.

Bronnen

Meer informatie:

Schrijf je in voor T-Updates

Ontvang elke woensdag het laatste nieuws over malware of kwetsbaarheden
in je mail

More than 1,000 organisations have already joined us.

Tesorion uses your data to send the requested information. In addition, your data may be used for commercial follow-up. You can unsubscribe from this at any time via the link in the email. For more information, read our privacy policy.