Rilevamento CVE-2024-4577: Una nuova vulnerabilità PHP facile da sfruttare potrebbe portare a RCE

[post-views]
Giugno 12, 2024 · 4 min di lettura
Rilevamento CVE-2024-4577: Una nuova vulnerabilità PHP facile da sfruttare potrebbe portare a RCE

Sulla scia della divulgazione di CVE-2024-29849 e del rilascio del suo PoC, un’altra falla di sicurezza sta creando agitazione nel panorama delle minacce informatiche. Lo sfruttamento riuscito di CVE-2024-4577, che colpisce i server PHP basati su Windows, potrebbe portare a un RCE. Il bug di sicurezza è un’iniezione di argomenti CGI che impatta tutte le versioni di PHP sul sistema operativo Windows e tutte le installazioni di XAMPP di default.

Rilevare i Tentativi di Sfruttamento di CVE-2024-4577

Con il cybercrimine ormai una delle principali cause di interruzioni aziendali, la Rilevazione Proattiva delle Vulnerabilità è più importante che mai. Solo lo scorso anno, 30.000 vulnerabilità sono state armate per attacchi reali.

Per affrontare l’avalanga di minacce emergenti, inclusi i possibili exploit per la recentemente identificata vulnerabilità critica PHP (CVE-2024-4577), i ricercatori di sicurezza richiedono accesso immediato a regole di rilevamento curate, query di caccia, e collezioni di IOC raggruppate con CTI utilizzabili e soluzioni di rilevamento delle minacce intelligenti. Piattaforma SOC Prime per la difesa informatica collettiva aggrega una regola dedicata affrontando i tentativi di sfruttamento di CVE-2024-4577. Il rilevamento qui sotto è arricchito con CTI utilizzabile, allineato con il framework MITRE ATT&CK® e compatibile con oltre 30+ soluzioni SIEM, EDR, e Data Lake.

Tentativo di Sfruttamento Possibile di CVE-2024-4577 (Esecuzione di Codice Remoto PHP) (via server web)

Inoltre, clicca il Esplora Rilevamenti pulsante qui sotto e accedi a contenuti di rilevamento arricchiti con CTI completi per proteggere la tua organizzazione dallo sfruttamento delle vulnerabilità, incluse le minacce più recenti e preesistenti.

Esplora Rilevamenti

Analisi CVE-2024-4577

I difensori hanno recentemente scoperto una nuova vulnerabilità PHP tracciata come CVE-2024-4577. Lo sfruttamento riuscito della falla identificata espone tutti i server Windows a potenziali attacchi RCE. Tuttavia, secondo la ricerca di watchTowr Labs, il bug è stato sfruttato solo su installazioni PHP basate su Windows, specificamente quando PHP è usato in modalità CGI sotto certi locali specifici, inclusi cinese e giapponese.

I ricercatori di cybersecurity di DEVCORE riportano che CVE-2024-4577 consente di bypassare la protezione di sicurezza stabilita per un’altra falla di sicurezza, CVE-2012-1823. Di conseguenza, gli attaccanti non autenticati sono in grado di aggirare le protezioni di CVE-2012-1823 usando specifiche sequenze di caratteri, permettendo l’esecuzione arbitraria di codice sui server PHP remoti tramite iniezione di argomenti. DEVCORE ha anche avvertito che tutte le installazioni di XAMPP su Windows sono intrinsecamente vulnerabili se configurate per utilizzare i locali sopra menzionati.

A seguito della divulgazione di CVE-2024-4577, le versioni PHP 8.3.8, 8.2.20, e 8.1.29 sono state immediatamente patchate per risolvere la vulnerabilità facile da sfruttare. Come misure di mitigazione potenziali per CVE-2024-4577, i difensori consigliano fortemente di aggiornare rapidamente alle versioni fixate. Inoltre, è altamente raccomandato che gli amministratori passino da PHP CGI obsoleto a una soluzione più sicura come Mod-PHP, FastCGI, o PHP-FPM per minimizzare i rischi di sfruttamento delle vulnerabilità. Per gli utenti che utilizzano XAMPP per Windows o coloro che non possono aggiornare PHP, la corrispondente consulenza sulla sicurezza fornisce linee guida aggiuntive per la mitigazione di CVE-2024-4577.

A causa della bassa complessità dell’exploit e del codice exploit PoC per CVE-2024-4577 disponibile pubblicamente su GitHub, CVE-2024-4577 pone seri rischi di essere attivamente sfruttata in attacchi in-the-wild, il che richiede un’estrema reattività dai difensori e una maggiore consapevolezza sulla sicurezza informatica. Affidarsi alla suite completa di prodotti di SOC Prime per Engineering del Rilevamento alimentato da AI, Caccia alle Minacce Automatica e Validazione dello Stack di Rilevamento per identificare e affrontare tempestivamente i punti ciechi nella difesa informatica, cacciare proattivamente le minacce emergenti, e dare priorità agli sforzi di rilevamento, assicurando di restare un passo avanti rispetto agli attaccanti.

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema
Blog, Ultime Minacce — 7 min di lettura
Vulnerabilità CVE-2025-49144: Critica Falla di Escalation dei Privilegi in Notepad++ Porta al Completo Controllo del Sistema
Veronika Telychko
Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Blog, Ultime Minacce — 6 min di lettura
Sfruttamento delle Vulnerabilità CVE-2025-6018 e CVE-2025-6019: la Catena di Difetti di Escalation dei Privilegi Locali Consente agli Attaccanti di Ottenere Accesso Root sulla Maggior Parte delle Distribuzioni Linux
Veronika Telychko
Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Blog, Ultime Minacce — 5 min di lettura
Vulnerabilità CVE-2025-4123: “Il Fantasma di Grafana” Zero-Day Consente l’Hijacking Maligno degli Account
Veronika Telychko