Scoperta vulnerabilità critica in PHP CGI: come proteggere i tuoi sistemi da CVE-2024-4577
Scopri come una falla di sicurezza in PHP CGI minaccia i tuoi server Windows e quali passi immediati intraprendere per proteggerti
Akamai ha scoperto una grave vulnerabilità in PHP (CVE-2024-4577) che permette l'esecuzione di codice remoto su sistemi Windows con configurazioni CGI. Malintenzionati possono sfruttarla per diffondere malware e attacchi di crypto mining. Installare patch e usare WAF è fondamentale per la protezione.
Il Security Intelligence Response Team (SIRT) di Akamai Technologies ha individuato una pericolosa vulnerabilità in PHP, nota come CVE-2024-4577. Questa falla colpisce le installazioni di PHP eseguite in modalità CGI, un protocollo di interazione tra server web e programmi esterni. La vulnerabilità impatta soprattutto i sistemi operativi Windows localizzati in cinese e giapponese, ma l'estensione completa delle installazioni vulnerabili è ancora sotto esame. Dopo appena 24 ore dalla pubblicazione della vulnerabilità, il team SIRT ha rilevato numerosi tentativi di sfruttamento, mettendo in evidenza la gravità e la rapidità con cui gli attori delle minacce informatiche l'hanno adottata. Gli aggressori sfruttano questa falla per eseguire codice remoto (RCE) tramite iniezione di comandi, incluse campagne di malware come Gh0stRAT e crypto miner come RedTail e XMRig.
Meccanismo della vulnerabilità e potenziali exploit
La vulnerabilità è causata dal modo in cui i gestori PHP e CGI interpretano alcuni caratteri Unicode. Gli aggressori possono inviare codice PHP dannoso che viene mal interpretato a causa della falla. L'exploit utilizza il metodo php://input per incorporare codice nel corpo della richiesta HTTP, manipolando opzioni come auto_prepend_file e allow_url_include. Anche se le stringhe di input sembrano identiche, differiscono nell'uso di caratteri Unicode: un trattino standard (0x2D) vs un "trattino soft" (0xAD). Questa differenziazione permette all'attacco di bypassare i controlli e aggiungere argomenti extra alla riga di comando, incrementando la versatilità dell'exploit.
Analisi dettagliata dei malware coinvolti
Tra gli exploit individuati, Gh0stRAT è stato rilevato negli honeypot di Akamai, utilizzati per attirare e analizzare attacchi informatici. Questo malware usa il packing UPX per manipolare le installazioni HTTP e diffondere payload dannosi, inclusi ulteriori malware da server remoti. Il RedTail Crypto Miner distribuisce uno script di shell per scaricare ed eseguire malware di crypto mining, targeting directory con autorizzazioni specifiche. La campagna Muhstik si avvale di uno script di shell per scaricare un file ELF, destinato a attività di crypto mining e attacchi DDoS, mentre XMRig utilizza PowerShell per scaricare ed eseguire script da un pool remoto di mining, completando poi operazioni di pulizia per nascondere l'attacco.
Raccomandazioni e misure di sicurezza
Akamai raccomanda vivamente di applicare immediatamente le patch necessarie e monitorare i sistemi per individuare eventuali indicatori di compromissione (IoC). I clienti che utilizzano il Web Application Firewall (WAF) e l’Adaptive Security Engine di Akamai sono già protetti da queste minacce, grazie alle specifiche regole e configurazioni fornite. Implementare queste soluzioni è fondamentale per garantire una difesa robusta contro le molteplici forme di attacco che sfruttano la vulnerabilità CVE-2024-4577. Queste misure preventive permettono di mantenere l'integrità dei sistemi e prevenire eventuali compromissioni future.
Follow us on Twitter for more pills like this07/12/2024 08:01
Marco Verro