Détection CVE-2024-4577 : Une Nouvelle Vulnérabilité PHP Facile à Exploiter Peut Mener à une RCE
Table des matières :
Dans la foulée de la divulgation de CVE-2024-29849 et de sa sortie PoC, une autre faille de sécurité crée le buzz dans le paysage de la cybermenace. L’exploitation réussie de CVE-2024-4577, qui affecte les serveurs PHP sous Windows, pourrait conduire à une exécution de code à distance (RCE). Le bug de sécurité est une vulnérabilité d’injection d’arguments CGI qui affecte toutes les versions de PHP sur le système d’exploitation Windows et toutes les installations XAMPP par défaut.
Détecter les tentatives d’exploitation de CVE-2024-4577
Avec la cybercriminalité désormais une cause majeure de perturbations commerciales, la détection proactive des vulnérabilités est plus importante que jamais. Rien que l’an dernier, 30 000 vulnérabilités ont été exploitées pour des attaques réelles.
Pour faire face à l’avalanche de menaces émergentes, y compris les potentielles exploits pour le critère de faille critique PHP récemment identifié (CVE-2024-4577), les chercheurs en sécurité nécessitent un accès instantané à des règles de détection filtrées, des requêtes de chasse et des collections d’IOC, fournies avec des CTI exploitables et des solutions intelligentes de détection de menace. Plateforme SOC Prime pour la défense cyber collective agrège une règle dédiée adressant les tentatives d’exploitation de CVE-2024-4577. La détection ci-dessous est enrichie avec des CTI exploitables, alignée avec le cadre MITRE ATT&CK® et compatible avec plus de 30 solutions SIEM, EDR et Data Lake.
Cliquez également sur le Explorer les détections bouton ci-dessous et accédez à un contenu de détection enrichi de CTI complet pour protéger votre organisation contre l’exploitation des vulnérabilités, y compris les menaces récentes et existantes.
Analyse de CVE-2024-4577
Les défenseurs ont récemment découvert une nouvelle vulnérabilité PHP suivie sous CVE-2024-4577. L’exploitation réussie de la faille identifiée expose tous les serveurs Windows à d’éventuelles attaques RCE. Cependant, selon les recherches de watchTowr Labs, le bug n’a été exploité que sur les installations PHP sous Windows, spécifiquement lorsque PHP est utilisé en mode CGI sous certaines localisations spécifiques, y compris le chinois et le japonais.
Les chercheurs en cybersécurité DEVCORE rapportent que CVE-2024-4577 permet de contourner les protections de sécurité établies pour une autre faille de sécurité, CVE-2012-1823. En conséquence, des attaquants non authentifiés sont capables de contourner les protections de CVE-2012-1823 en utilisant des séquences de caractères spécifiques, permettant l’exécution de code arbitraire sur des serveurs PHP distants via l’injection d’arguments. DEVCORE a également averti que toutes les installations XAMPP sur Windows sont intrinsèquement vulnérables si configurées pour utiliser les localisations mentionnées ci-dessus.
Suite à la divulgation de CVE-2024-4577, les versions PHP 8.3.8, 8.2.20 et 8.1.29 ont été instantanément patchées pour résoudre la vulnérabilité facile à exploiter. En tant que mesures de mitigation potentielles de CVE-2024-4577, les défenseurs recommandent fortement de mettre à jour rapidement vers les versions corrigées. De plus, il est hautement recommandé que les administrateurs passent du CGI PHP obsolète à une solution plus sécurisée comme Mod-PHP, FastCGI ou PHP-FPM pour minimiser les risques d’exploitation de la vulnérabilité. Pour les utilisateurs utilisant XAMPP pour Windows ou ceux incapables de mettre à jour PHP, le avis de sécurité correspondant fournit des lignes directrices supplémentaires de mitigation pour CVE-2024-4577.
En raison de la faible complexité d’exploitation et du code d’exploitation PoC pour CVE-2024-4577 disponible publiquement sur GitHub, CVE-2024-4577 pose de graves risques d’être activement exploité dans des attaques in situ, ce qui nécessite une ultra-réactivité de la part des défenseurs et une sensibilisation accrue à la cybersécurité. Faites confiance à l’ensemble de produits complet de SOC Prime pour l’ingénierie de détection alimentée par l’IA, la chasse automatisée aux menaces et la validation de pile de détection pour identifier et aborder en temps opportun les angles morts de la défense cyber, traquer de manière proactive les menaces émergentes, et prioriser les efforts de détection, garantissant que vous restiez une longueur d’avance sur les attaquants.
