CVE-2024-4577 検出：新たに簡単に悪用され得るPHPの脆弱性がRCEにつながる可能性

CVE-2024-29849の開示に続いて CVE-2024-29849 とそのPoCリリース、別のセキュリティ欠陥がサイバー脅威の環境で話題になっています。WindowsベースのPHPサーバーに影響を与えるCVE-2024-4577の成功した悪用はRCEにつながる可能性があります。このセキュリティバグはCGI引数インジェクションの脆弱性で、Windows OS上のすべてのPHPバージョンおよびすべてのXAMPPインストールにデフォルトで影響を与えます。

CVE-2024-4577悪用試行の検出

サイバー犯罪が今や ビジネス中断の主要な原因となる中、プロアクティブな脆弱性検出はこれまで以上に重要です。昨年だけで30,000の脆弱性が実世界での攻撃に利用されました。

最近特定されたPHPの重大な欠陥（CVE-2024-4577）の可能性のある悪用を含む、新たな脅威の雪崩に対処するために、セキュリティ研究者は、アクション可能なCTIとスマート脅威検出ソリューションを備えたキュレーションされた検出ルール、ハンティングクエリ、およびIOCコレクションへの即時アクセスを必要とします。 SOC Primeプラットフォーム による集団的サイバー防衛のため、CVE-2024-4577悪用試行に対処する専用ルールを集約しています。以下の検出は、アクション可能なCTIで強化され、MITRE ATT&CK®フレームワークと一致し、30以上のSIEM、EDR、およびデータレイクソリューションと互換性があります。

CVE-2024-4577の可能な悪用試行（PHPリモートコード実行、ウェブサーバ経由）

また、以下の 検出を探索 ボタンをクリックして包括的なCTIで強化された検出コンテンツにアクセスし、最新および既存の脅威を含む脆弱性悪用から組織を保護してください。

検出を探索

CVE-2024-4577解析

ディフェンダーが最近CVE-2024-4577として追跡される新しいPHPの脆弱性を発見しました。 CVE-2024-4577特定された欠陥の成功した悪用は、すべてのWindowsサーバーを潜在的なRCE攻撃に晒します。しかし、 watchTowr Labsの調査によれば、バグはWindowsベースのPHPインストールでのみ、特にPHPが特定のロケール、例として中国語や日本語でCGIモードで使用される際に悪用されています。

DEVCOREのサイバーセキュリティ研究者は CVE-2024-4577が他のセキュリティ欠陥CVE-2012-1823のために確立されたセキュリティ保護をバイパスすることを許可します。その結果、未認証の攻撃者は特定の文字列を使用してCVE-2012-1823の保護をバイパスし、引数注入を介してリモートPHPサーバーに任意のコードを実行できます。DEVCOREはまた、上記のロケールを使用するように構成されている場合、Windows上のすべてのXAMPPインストールが本質的に脆弱であることを警告しています。

CVE-2024-4577の開示後、 PHPバージョン8.3.8、8.2.20、8.1.29は 容易に悪用可能な脆弱性に対処するために即座にパッチが適用されました。可能なCVE-2024-4577の緩和策として、ディフェンダーは迅速に修正されたバージョンにアップデートすることを強く推奨します。さらに、PHP CGIからより安全なソリューションであるMod-PHP、FastCGI、またはPHP-FPMに切り替えて、脆弱性の悪用リスクを最小限にすることを管理者に対して強く推奨します。Windows用XAMPPを利用しているか、PHPのアップグレードができないユーザーには、 対応するセキュリティアドバイザリ が追加のCVE-2024-4577緩和ガイドラインを提供します。

低い悪用の複雑さと CVE-2024-4577のPoCエクスプロイトコード がGitHubで公開されているため、西部で積極的に利用されている攻撃のリスクが高く、ディフェンダーからの即応性とサイバーセキュリティ意識の向上が要求されます。 SOC Primeの完全な製品スイートに依存してください。 AIを活用した検出エンジニアリング、自動脅威ハンティング＆検出スタックバリデーションによってタイムリーにサイバー防御の盲点を特定し、出現する脅威を積極的にハントし、検出努力を優先して攻撃者より一歩先を行くことを確認します。