CVE-2024-4577

Nome do Software Vulnerável e Versões Afetadas PHP versões 8.1.0 até 8.1.28 PHP versões 8.2.0 até 8.2.19 PHP versões 8.3.0 até 8.3.7

Descrição Um problema de injeção de argumentos existe no PHP ao usar Apache e PHP-CGI no Windows. A falha ocorre porque a implementação do PHP no Windows não considera o comportamento "Best-Fit", no qual caracteres Unicode são convertidos para os caracteres ANSI correspondentes mais próximos com base em páginas de código específicas do sistema. Um invasor remoto pode enviar solicitações HTTP especialmente formatadas contendo sequências de caracteres específicas que o módulo PHP CGI interpreta incorretamente como opções do PHP. Isso permite que o invasor passe argumentos para o binário do PHP, podendo revelar o código-fonte de scripts ou alcançar a execução remota de código (RCE).

A exploração no mundo real foi observada globalmente, incluindo Japão, Taiwan, Hong Kong, EUA, Reino Unido, Singapura, Indonésia, Índia, Espanha e Malásia. Invasores utilizaram essa falha para implantar o backdoor Msupedge, o Quasar RAT e mineradores de criptomoedas XMRig. Em algumas campanhas, como a campanha Contagious Interview direcionada a desenvolvedores, esta vulnerabilidade foi encontrada em configurações de servidor XAMPP. Também foram observados invasores utilizando ferramentas como JuicyPotato para escalonamento de privilégios e plugins Cobalt Strike TaoWu para criar serviços maliciosos.

Recomendações Atualizar a versão do PHP 8.1.x para 8.1.29. Atualizar a versão do PHP 8.2.x para 8.2.20. Atualizar a versão do PHP 8.3.x para 8.3.8. Como mitigação temporária, evite executar o PHP no modo CGI.