AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Scoperta vulnerabilità critica in PHP CGI: come proteggere i tuoi sistemi da CVE-2024-4577

Scopri come una falla di sicurezza in PHP CGI minaccia i tuoi server Windows e quali passi immediati intraprendere per proteggerti

Akamai ha scoperto una grave vulnerabilità in PHP (CVE-2024-4577) che permette l'esecuzione di codice remoto su sistemi Windows con configurazioni CGI. Malintenzionati possono sfruttarla per diffondere malware e attacchi di crypto mining. Installare patch e usare WAF è fondamentale per la protezione.

This pill is also available in English language

Il Security Intelligence Response Team (SIRT) di Akamai Technologies ha individuato una pericolosa vulnerabilità in PHP, nota come CVE-2024-4577. Questa falla colpisce le installazioni di PHP eseguite in modalità CGI, un protocollo di interazione tra server web e programmi esterni. La vulnerabilità impatta soprattutto i sistemi operativi Windows localizzati in cinese e giapponese, ma l'estensione completa delle installazioni vulnerabili è ancora sotto esame. Dopo appena 24 ore dalla pubblicazione della vulnerabilità, il team SIRT ha rilevato numerosi tentativi di sfruttamento, mettendo in evidenza la gravità e la rapidità con cui gli attori delle minacce informatiche l'hanno adottata. Gli aggressori sfruttano questa falla per eseguire codice remoto (RCE) tramite iniezione di comandi, incluse campagne di malware come Gh0stRAT e crypto miner come RedTail e XMRig.

Meccanismo della vulnerabilità e potenziali exploit

La vulnerabilità è causata dal modo in cui i gestori PHP e CGI interpretano alcuni caratteri Unicode. Gli aggressori possono inviare codice PHP dannoso che viene mal interpretato a causa della falla. L'exploit utilizza il metodo php://input per incorporare codice nel corpo della richiesta HTTP, manipolando opzioni come auto_prepend_file e allow_url_include. Anche se le stringhe di input sembrano identiche, differiscono nell'uso di caratteri Unicode: un trattino standard (0x2D) vs un "trattino soft" (0xAD). Questa differenziazione permette all'attacco di bypassare i controlli e aggiungere argomenti extra alla riga di comando, incrementando la versatilità dell'exploit.

Analisi dettagliata dei malware coinvolti

Tra gli exploit individuati, Gh0stRAT è stato rilevato negli honeypot di Akamai, utilizzati per attirare e analizzare attacchi informatici. Questo malware usa il packing UPX per manipolare le installazioni HTTP e diffondere payload dannosi, inclusi ulteriori malware da server remoti. Il RedTail Crypto Miner distribuisce uno script di shell per scaricare ed eseguire malware di crypto mining, targeting directory con autorizzazioni specifiche. La campagna Muhstik si avvale di uno script di shell per scaricare un file ELF, destinato a attività di crypto mining e attacchi DDoS, mentre XMRig utilizza PowerShell per scaricare ed eseguire script da un pool remoto di mining, completando poi operazioni di pulizia per nascondere l'attacco.

Raccomandazioni e misure di sicurezza

Akamai raccomanda vivamente di applicare immediatamente le patch necessarie e monitorare i sistemi per individuare eventuali indicatori di compromissione (IoC). I clienti che utilizzano il Web Application Firewall (WAF) e l’Adaptive Security Engine di Akamai sono già protetti da queste minacce, grazie alle specifiche regole e configurazioni fornite. Implementare queste soluzioni è fondamentale per garantire una difesa robusta contro le molteplici forme di attacco che sfruttano la vulnerabilità CVE-2024-4577. Queste misure preventive permettono di mantenere l'integrità dei sistemi e prevenire eventuali compromissioni future.

Follow us on Twitter for more pills like this

07/12/2024 08:01

Marco Verro

Last pills

Italy's success in cybersecurityHow Italy achieved excellence in global cybersecurity: strategies, collaborations, and international successes

IntelBroker alleged breach of Deloitte systemsServer exposed: how Deloitte's security may have been compromised by a cyber attack

Vo1d infections on Android TV boxes: how to protect your devicesLearn the essential measures to protect your Android TV boxes from the dreaded Vo1d malware and keep your devices safe from cyber threats

Hacker attack in Lebanon: Hezbollah under fireTechnological shock and injuries: cyber warfare hits Hezbollah in Lebanon