CVE-2024-4577-Erkennung: Eine neue leicht auszunutzende PHP-Schwachstelle könnte zu RCE führen

[post-views]
Juni 12, 2024 · 3 min zu lesen
CVE-2024-4577-Erkennung: Eine neue leicht auszunutzende PHP-Schwachstelle könnte zu RCE führen

Nach der Offenlegung von CVE-2024-29849 und der Veröffentlichung seines PoC sorgt eine weitere Sicherheitslücke in der Bedrohungslage im Bereich Cyber für Aufsehen. Eine erfolgreiche Ausnutzung von CVE-2024-4577, die Windows-basierte PHP-Server betrifft, könnte zu RCE führen. Der Sicherheitsfehler ist eine CGI-Argument-Injektions-Schwachstelle, die alle Versionen von PHP auf dem Windows-OS und alle XAMPP-Installationen standardmäßig betrifft.

Erkennung von CVE-2024-4577 Ausnutzungsversuchen

Da Cyberkriminalität inzwischen eine wesentliche Ursache für Betriebsunterbrechungen darstellt, ist proaktive Schwachstellenerkennung wichtiger denn je. Allein im vergangenen Jahr wurden 30.000 Schwachstellen für reale Angriffe genutzt.

Um der Flut aufkommender Bedrohungen zu begegnen, einschließlich möglicher Exploits für die kürzlich identifizierte kritische PHP-Schwachstelle (CVE-2024-4577), benötigen Sicherheitsforscher sofortigen Zugriff auf kuratierte Erkennungsregeln, Jagdanfragen und IOC-Sammlungen, die mit umsetzbarer CTI und intelligenten Bedrohungserkennungslösungen gebündelt sind. SOC Prime Plattform für kollektive Cyberverteidigung aggregiert eine dedizierte Regel zur Adressierung von CVE-2024-4577 Ausnutzungsversuchen. Die folgende Erkennung ist mit umsetzbarer CTI angereichert, an das MITRE ATT&CK®-Framework angepasst und kompatibel mit mehr als 30 SIEM-, EDR- und Datenbanksystemlösungen.

Möglicher CVE-2024-4577 (PHP Remote Code Execution) Ausnutzungsversuch (über Webserver)

Klicken Sie außerdem auf die Explorationserkennungen Schaltfläche unten und greifen Sie auf umfassende, mit CTI angereicherte Erkennungsinhalte zu, um Ihre Organisation vor der Ausnutzung von Schwachstellen, einschließlich der neuesten und bestehenden Bedrohungen, zu schützen.

Explorationserkennungen

CVE-2024-4577 Analyse

Verteidiger haben kürzlich eine neuartige PHP-Schwachstelle entdeckt, die als CVE-2024-4577verfolgt wird. Die erfolgreiche Ausnutzung der identifizierten Schwachstelle setzt alle Windows-Server potenziellen RCE-Angriffen aus. Laut watchTowr Labs Forschungwurde der Fehler jedoch nur bei Windows-basierten PHP-Installationen ausgenutzt, insbesondere wenn PHP im CGI-Modus unter bestimmten speziellen Gebietsschemen, einschließlich Chinesisch und Japanisch, verwendet wird.

DEVCORE Cybersicherheit Forscher berichten, dass CVE-2024-4577 das Umgehen von Sicherheitsvorkehrungen ermöglicht, die für eine andere Sicherheitslücke, CVE-2012-1823, eingerichtet wurden. Infolgedessen sind nicht authentifizierte Angreifer in der Lage, die Schutzmechanismen von CVE-2012-1823 mithilfe bestimmter Zeichensequenzen zu umgehen, was die Ausführung beliebigen Codes auf entfernten PHP-Servern über Argumentinjektion ermöglicht. DEVCORE hat zudem gewarnt, dass alle XAMPP-Installationen auf Windows von Natur aus anfällig sind, wenn sie so konfiguriert sind, dass die oben genannten Gebietsschemata verwendet werden.

Nach der Offenlegung von CVE-2024-4577 wurden PHP-Versionen 8.3.8, 8.2.20 und 8.1.29 sofort gepatcht, um die leicht auszunutzende Sicherheitslücke zu beheben. Als mögliche Maßnahmen zur Schadensbegrenzung von CVE-2024-4577 empfehlen Verteidiger dringend, schnell auf die behobenen Versionen zu aktualisieren. Darüber hinaus wird dringend empfohlen, dass Administratoren vom veralteten PHP CGI zu einer sichereren Lösung wie Mod-PHP, FastCGI oder PHP-FPM wechseln, um das Risiko der Schwachstellenausnutzung zu minimieren. Für Benutzer, die XAMPP für Windows verwenden oder PHP nicht aktualisieren können, bietet die entsprechende Sicherheitsempfehlung zusätzliche Richtlinien zur Schadensbegrenzung von CVE-2024-4577.

Aufgrund der geringen Komplexität der Ausnutzung und des öffentlich verfügbaren PoC-Exploits für CVE-2024-4577 auf GitHub birgt CVE-2024-4577 hohe Risiken, in realen Angriffen aktiv ausgenutzt zu werden, was von Verteidigern äusserst schnelles Reagieren und ein erhöhtes Bewusstsein für Cybersicherheit erfordert. Verlassen Sie sich auf SOC Prime’s vollständige Produktreihe für KI-gestütztes Detection Engineering, automatisiertes Threat Hunting & Erkennung Stack Validierung, um Cyberverteidigungs-Blindstellen rechtzeitig zu identifizieren und zu beseitigen, neu aufkommende Bedrohungen proaktiv zu jagen und Erkennungsbemühungen zu priorisieren, sodass Sie den Angreifern stets einen Schritt voraus bleiben.

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

CVE-2025-49144 Sicherheitslücke: Kritische Privilegieneskalationslücke in Notepad++ führt zur vollständigen Systemübernahme
Blog, Neueste Bedrohungen — 5 min zu lesen
CVE-2025-49144 Sicherheitslücke: Kritische Privilegieneskalationslücke in Notepad++ führt zur vollständigen Systemübernahme
Veronika Telychko
CVE-2025-6018 und CVE-2025-6019 Sicherheitslücken-Ausnutzung: Ketten von lokalen Privilegieneskalations-Schwachstellen ermöglichen Angreifern Root-Zugriff auf den meisten Linux-Distributionen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-6018 und CVE-2025-6019 Sicherheitslücken-Ausnutzung: Ketten von lokalen Privilegieneskalations-Schwachstellen ermöglichen Angreifern Root-Zugriff auf den meisten Linux-Distributionen
Veronika Telychko
CVE-2025-4123 Schwachstelle: „Der Grafana-Phantom“ Zero-Day ermöglicht bösartige Kontenübernahme
Blog, Neueste Bedrohungen — 5 min zu lesen
CVE-2025-4123 Schwachstelle: „Der Grafana-Phantom“ Zero-Day ermöglicht bösartige Kontenübernahme
Veronika Telychko