Una nueva vulnerabilidad en PHP expone a los servidores Windows a la ejecución remota de código

Luis Quiles
Luis Quiles
php
Vulnerabilidad, Programación

Han surgido detalles sobre una nueva falla crítica de seguridad que afecta a PHP y que podría ser explotada para lograr la ejecución remota de código en determinadas circunstancias.

La vulnerabilidad, identificada como CVE-2024-4577, ha sido descrita como una vulnerabilidad de inyección de argumentos CGI que afecta a todas las versiones de PHP instaladas en el sistema operativo Windows.

Según el investigador de seguridad de DEVCORE, esta deficiencia permite eludir las protecciones implementadas para otra falla de seguridad, CVE-2012-1823.

«Durante la implementación de PHP, el equipo no se percató de la función de ‘Best-Fit‘ de conversión de codificación dentro del sistema operativo Windows», dijo el investigador de seguridad Orange Tsai.

«Esta omisión permite que atacantes no autenticados eludan la protección previa de CVE-2012-1823 mediante secuencias de caracteres específicas. Se puede ejecutar código arbitrario en servidores PHP remotos a través del ataque de inyección de argumentos.»

Tras la divulgación responsable el 7 de mayo de 2024, se ha publicado una solución para la vulnerabilidad en las versiones 8.3.8, 8.2.20 y 8.1.29 de PHP.

DEVCORE ha advertido que todas las instalaciones de XAMPP en Windows son vulnerables por defecto cuando están configuradas para usar las configuraciones regionales para chino tradicional, chino simplificado o japonés.

La empresa taiwanesa también recomienda que los administradores abandonen por completo el obsoleto PHP CGI y opten por una solución más segura como Mod-PHP, FastCGI o PHP-FPM.

«Esta vulnerabilidad es increíblemente simple, pero eso es lo que también la hace interesante», dijo Tsai. «¿Quién habría pensado que un parche, que ha sido revisado y demostrado seguro durante los últimos 12 años, podría ser eludido debido a una característica menor de Windows?»

La Fundación Shadowserver, en una publicación compartida en X, dijo que ya ha detectado intentos de explotación de la falla contra sus servidores de honeypot dentro de las 24 horas posteriores a la divulgación pública.

microsoft

Towr Labs afirmó haber ideado un exploit para CVE-2024-4577 y lograr la ejecución remota de código, lo que hace imperativo que los usuarios se muevan rápidamente para aplicar los últimos parches.

«Un error desagradable con un exploit muy simple», dijo la investigadora de seguridad Aliz Hammond.

«Aquellos que se encuentren en una configuración afectada bajo una de las configuraciones regionales afectadas -chino (simplificado o tradicional) o japonés- se les insta a hacer esto lo más rápido posible, ya que existe una alta probabilidad de que el error sea explotado en masa debido a la baja complejidad del exploit».

Share this article :

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Descubre los últimos artículos del blog sobre seguridad cibernética.