Grave falla di sicurezza nel PHP su server Windows in modalità CGI

Nel mondo della sicurezza informatica, l'azienda taiwanese DEVCORE ha identificato una vulnerabilità significativa nelle installazioni di PHP su Windows in modalità CGI. La vulnerabilità, identificata con il codice CVE-2024-4577, non ha ancora un punteggio CVSS specifico ma permette agli aggressori di manipolare gli argomenti della riga di comando, portando alla possibilità di eseguire codice remoto (RCE). Secondo DEVCORE, il problema trova le sue radici nella vecchia vulnerabilità CVE-2012-1823, poiché il nuovo bug permette di aggirare le misure di sicurezza introdotte contro quest'ultima utilizzando particolari sequenze di caratteri.

Versioni PHP affette e rischio per i siti web

Il difetto di sicurezza CVE-2024-4577 interessa numerose versioni di PHP su server Windows, nello specifico: PHP 8.3 fino alla 8.3.8, PHP 8.2 fino alla 8.2.20 e PHP 8.1 fino alla 8.1.29. La diffusione ampiamente capillare di PHP all'interno dell'ecosistema web, insieme alla semplicità di sfruttamento di questa falla, hanno spinto gli esperti a classificare la vulnerabilità come critica. Immediatamente segnalata al team ufficiale di PHP, la vulnerabilità è stata resa pubblica solo dopo il rilascio delle versioni di PHP corrette, disponibili per il download dal sito ufficiale. Gli esperti stimano che la vulnerabilità potrebbe pregiudicare milioni di siti web e servizi ospitati su server Windows con PHP in modalità CGI.

Impatto su server Windows in differenti localizzazioni

Al momento della comunicazione, è stato confermato che un attore malevolo non autorizzato può eseguire codice arbitrario su un server remoto in specifiche localizzazioni dell'interfaccia, in particolare: cinese tradizionale, cinese semplificato e giapponese. Per altre istanze Windows in altre localizzazioni, data la vasta gamma di utilizzi di PHP, i ricercatori non possono ancora escludere altre possibili modalità di sfruttamento. Gli amministratori di sistema sono quindi fortemente incoraggiati a condurre proprie valutazioni di sicurezza, riesaminare i loro casi d'uso e aggiornare PHP all'ultima versione disponibile per mantenere la sicurezza dei propri sistemi.

Azione immediata e raccomandazioni di sicurezza

I ricercatori di watchTowr Labs hanno già creato e reso pubblico un exploit per questa vulnerabilità, definendolo facilmente replicabile. Pertanto, aggiornare immediatamente PHP alla versione corretta è cruciale per evitare potenziali attacchi. Per mitigare ulteriori rischi, è inoltre consigliato ai responsabili IT di controllare regolarmente le configurazioni dei server, eseguire audit di sicurezza e formare il personale all'uso e alla gestione sicura dei sistemi. Nonostante la criticità della situazione, adottare rapidamente queste misure può ridurre significativamente il rischio di compromissione.