Detección de CVE-2024-4577: Una Nueva Vulnerabilidad en PHP Fácil de Explotar que Podría Conducir a RCE

[post-views]
junio 12, 2024 · 3 min de lectura
Detección de CVE-2024-4577: Una Nueva Vulnerabilidad en PHP Fácil de Explotar que Podría Conducir a RCE

A raíz de la divulgación de CVE-2024-29849 y su liberación de PoC, otra falla de seguridad está causando revuelo en el panorama de amenazas cibernéticas. La explotación exitosa de CVE-2024-4577, que afecta a servidores PHP basados en Windows, podría llevar a RCE. El error de seguridad es una vulnerabilidad de inyección de argumentos CGI que afecta a todas las versiones de PHP en el sistema operativo Windows y todas las instalaciones de XAMPP por defecto.

Detectar intentos de explotación de CVE-2024-4577

Con el cibercrimen siendo ahora una causa mayor de interrupciones en los negocios, la detección proactiva de vulnerabilidades es más importante que nunca. Solo en el año pasado, 30,000 vulnerabilidades se han armado para ataques en el mundo real.

Para enfrentar la avalancha de amenazas emergentes, incluidas posibles explotaciones para la reciente crítica falla de PHP (CVE-2024-4577), los investigadores de seguridad requieren acceso instantáneo a reglas de detección curadas, consultas de búsqueda y colecciones de IOCs agrupadas con CTI accionables y soluciones inteligentes de detección de amenazas. Plataforma SOC Prime para la defensa cibernética colectiva agrega una regla dedicada para abordar intentos de explotación de CVE-2024-4577. La detección a continuación está enriquecida con CTI accionable, alineada con el marco MITRE ATT&CK® y compatible con más de 30 soluciones de SIEM, EDR y Data Lake.

Posible intento de explotación de CVE-2024-4577 (Ejecución remota de código PHP) (a través del servidor web)

Además, haz clic en el Explorar detecciones botón a continuación y accede a contenido de detección enriquecido con CTI completo para proteger tu organización contra la explotación de vulnerabilidades, incluidas las amenazas más recientes y existentes.

Explorar detecciones

Análisis de CVE-2024-4577

Recientemente, los defensores han descubierto una nueva vulnerabilidad en PHP rastreada como CVE-2024-4577. La explotación exitosa de la falla identificada expone a todos los servidores Windows a posibles ataques RCE. Sin embargo, según la investigación de watchTowr Labs, el error solo se ha explotado en instalaciones de PHP basadas en Windows, específicamente cuando PHP se utiliza en modo CGI bajo ciertos locales específicos, incluidos el chino y el japonés.

Los investigadores de ciberseguridad DEVCORE informan que CVE-2024-4577 permite eludir la protección de seguridad establecida para otra falla de seguridad, CVE-2012-1823. Como resultado, atacantes no autenticados pueden eludir las protecciones de CVE-2012-1823 utilizando secuencias de caracteres específicas, permitiendo la ejecución de código arbitrario en servidores PHP remotos a través de inyección de argumentos. DEVCORE también ha advertido que todas las instalaciones de XAMPP en Windows son inherentemente vulnerables si están configuradas para usar los locales mencionados anteriormente.

Tras la divulgación de CVE-2024-4577, las versiones PHP 8.3.8, 8.2.20, y 8.1.29 han sido parcheadas instantáneamente para abordar la vulnerabilidad fácil de explotar. Como medidas de mitigación potencial de CVE-2024-4577, los defensores recomiendan encarecidamente actualizar rápidamente a las versiones corregidas. Además, se recomienda altamente que los administradores cambien del obsoleto PHP CGI a una solución más segura como Mod-PHP, FastCGI o PHP-FPM para minimizar los riesgos de explotación de vulnerabilidades. Para los usuarios que utilizan XAMPP para Windows o aquellos que no pueden actualizar PHP, el consejo de seguridad correspondiente proporciona pautas adicionales de mitigación para CVE-2024-4577.

Debido a la baja complejidad de explotación y al código de PoC explotable para CVE-2024-4577 disponible públicamente en GitHub, CVE-2024-4577 plantea graves riesgos de ser aprovechado activamente en ataques al aire libre, lo que requiere una ultra-respuesta por parte de los defensores y un aumento de la conciencia de ciberseguridad. Confía en el conjunto completo de productos de SOC Prime para Ingeniería de Detección impulsada por IA, Caza de Amenazas Automatizada y Validación de Pilas de Detección para identificar y abordar a tiempo los puntos ciegos de defensa cibernética, buscar proactivamente amenazas emergentes y priorizar los esfuerzos de detección, asegurando que te mantengas un paso adelante de los atacantes.

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Vulnerabilidad CVE-2025-49144: Falla crítica de escalamiento de privilegios en Notepad++ lleva a toma completa del sistema
Blog, Últimas Amenazas — 6 min de lectura
Vulnerabilidad CVE-2025-49144: Falla crítica de escalamiento de privilegios en Notepad++ lleva a toma completa del sistema
Veronika Telychko
Explotación de Vulnerabilidades CVE-2025-6018 y CVE-2025-6019: La Cadena de Fallas de Escalada de Privilegios Locales Permite a los Atacantes Obtener Acceso Root en la Mayoría de las Distribuciones de Linux
Blog, Últimas Amenazas — 5 min de lectura
Explotación de Vulnerabilidades CVE-2025-6018 y CVE-2025-6019: La Cadena de Fallas de Escalada de Privilegios Locales Permite a los Atacantes Obtener Acceso Root en la Mayoría de las Distribuciones de Linux
Veronika Telychko
Vulnerabilidad CVE-2025-4123: Zero-Day «El Fantasma de Grafana» Permite el Secuestro Malicioso de Cuentas
Blog, Últimas Amenazas — 5 min de lectura
Vulnerabilidad CVE-2025-4123: Zero-Day «El Fantasma de Grafana» Permite el Secuestro Malicioso de Cuentas
Veronika Telychko