Vulnerabilidad Alta en PHP
Una vulnerabilidad nueva identificada como CVE-2024-4577 y con una puntuación CVSS 9,3 fue detectada por PHP. Esta vulnerabilidad podría permitir a los atacantes enviar cadenas de caracteres especialmente diseñadas que se interpretarían como argumentos, permitiendo la ejecución de código arbitrario. [2][3]
Cuando se utiliza Apache y PHP-CGI en Windows, si el sistema está configurado para utilizar páginas de códigos específicas, Windows puede utilizar el comportamiento “BestFit” para reemplazar los caracteres en la línea de comandos dados a las funciones de la API de Win32. El módulo CGI de PHP puede malinterpretar esos caracteres como funciones de PHP, lo que podría permitir a un usuario malintencionado pasar opciones al binario de PHP que se está ejecutando. Esta vulnerabilidad podría revelar el código fuente del script o conducir a la ejecución de código PHP arbitrario en el servidor. [2][4]
Tenga en cuenta que PHP 8.0, PHP 7 y PHP 5 están al final de su vida útil, no hay parche disponible para PHP 8.0, PHP 7 y PHP 5. Todas las versiones de las instalaciones de XAMPP en Windows son vulnerables de forma predeterminada.[5]
Versiones Afectadas
- PHP 8.3 < 8.3.8
- PHP 8.2 < 8.2.20
- PHP 8.1 < 8.1.29
Recomendaciones
- Actualizar o migrar los de productos afectados a las versiones con solución.
- Auditar herramientas acceso remoto. (NIST CSF, 2024)
- Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
- Limitar estrictamente el uso de los protocolos SMB y RDP.
- Realizar auditorías de seguridad. (NIST CSF, 2024)
- Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
- Tener filtros de correo electrónico y spam.
- Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
- Realizar copias de seguridad, respaldos o back-ups constantemente.
- Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
- Revisar continuamente los privilegios de los usuarios.
- Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
- Habilitar la autenticación multifactor.
Referencias
- PHP: PHP 8 ChangeLog. (2024, 6 junio). https://www.php.net/ChangeLog-8.php
- Vulnerabilities in PHP. (s. f.). https://cert.europa.eu/publications/security-advisories/2024-058/
- Arghire, I. A. (2024, 10 junio). PHP Patches Critical Remote Code Execution Vulnerability. SecurityWeek. https://www.securityweek.com/php-patches-critical-remote-code-execution-vulnerability/
- NVD - CVE-2024-4577. (s. f.). https://nvd.nist.gov/vuln/detail/CVE-2024-4577
- PHP multiple vulnerabilities. (s. f.). https://www.hkcert.org/security-bulletin/php-multiple-vulnerabilities_20240611
