CVE-2024-4577 탐지: 새로운 쉽게 악용 가능한 PHP 취약점이 RCE로 이어질 수 있음

공개 직후 CVE-2024-29849 및 PoC 릴리스에 이어, 또 다른 보안 결함이 사이버 위협 환경에서 화제가 되고 있습니다. CVE-2024-4577의 성공적인 악용은 Windows 기반 PHP 서버에서 RCE를 유발할 수 있습니다. 이 보안 버그는 CGI 인자 주입 취약점으로, Windows OS의 모든 PHP 버전과 기본 설정된 모든 XAMPP 설치에 영향을 미칩니다.

CVE-2024-4577 악용 시도 탐지

사이버 범죄가 이제 비즈니스 중단의 주요 원인이 되었으므로, 능동적 취약점 탐지가 어느 때보다 중요해졌습니다. 지난 1년 동안만 해도 30,000개의 취약점이 실제 공격을 위해 무기화되었습니다.

최근 식별된 중요한 PHP 결함(CVE-2024-4577) 악용 가능성을 포함한 새로운 위협의 홍수에 대처하기 위해, 보안 연구원은 행동 가능한 CTI 및 스마트 위협 탐지 솔루션과 함께 번들로 제공되는 큐레이션된 탐지 규칙, 헌팅 쿼리 및 IOC 수집 접근의 즉각적인 액세스가 필요합니다. SOC Prime 플랫폼 은 집단 사이버 방어를 위한 특화된 규칙을 집계해 CVE-2024-4577 악용 시도를 다루고 있습니다. 아래의 탐지는 행동 가능한 CTI로 강화되어 있으며, MITRE ATT&CK® 프레임워크에 맞춰 조정되고 30개 이상의 SIEM, EDR 및 데이터 레이크 솔루션과 호환됩니다.

CVE-2024-4577 (PHP 원격 코드 실행) 악용 시도 가능 (웹서버 통해)

또한, 아래의 탐지 탐색 버튼을 클릭하여 최신 및 기존 위협을 포함한 취약점 악용으로부터 조직을 보호하기 위한 종합적인 CTI 강화 탐지 콘텐츠를 확인하세요.

탐지 탐색

CVE-2024-4577 분석

방어자들은 최근 CVE-2024-4577로 추적되는 새로운 PHP 취약점을 발견했습니다. 식별된 결함의 성공적인 악용은 모든 Windows 서버를 잠재적인 RCE 공격에 노출시킵니다. 하지만, watchTowr Labs 연구에 따르면, 이 버그는 특정 로케일에서 CGI 모드로 PHP를 사용하는 경우, Windows 기반 PHP 설치에서만 악용되었습니다. 특히 중국어 및 일본어 로케일을 포함합니다.

DEVCORE 사이버 보안 연구원 에 따르면, CVE-2024-4577은 또 다른 보안 결함인 CVE-2012-1823에 대해 설정된 보안 보호를 우회할 수 있습니다. 그 결과, 인증되지 않은 공격자들은 특정 문자 시퀀스를 사용하여 CVE-2012-1823의 보호를 우회해 원격 PHP 서버에서 인자 주입을 통해 임의 코드 실행을 허용합니다. 또한, DEVCORE는 위에서 언급한 로케일을 사용하도록 설정된 경우, Windows에서 모든 XAMPP 설치는 자명하게 취약하다고 경고했습니다.

CVE-2024-4577의 공개에 따라, PHP 버전 8.3.8, 8.2.20 및 8.1.29 는 즉시 취약성을 해결하기 위해 패치되었습니다. 가능한 CVE-2024-4577 완화 조치로, 방어자는 빠르게 수정 버전으로 업데이트할 것을 강력히 권장합니다. 추가로, 관리자는 구식 PHP CGI에서 보다 안전한 해결책인 Mod-PHP, FastCGI 또는 PHP-FPM으로 전환하여 취약점 악용의 위험을 최소화하는 것이 강력히 권장됩니다. Windows용 XAMPP를 활용하는 사용자 또는 PHP 업그레이드가 불가능한 경우, 해당 보안 권고 는 추가 CVE-2024-4577 완화 지침을 제공합니다.

낮은 악용 복잡도 및 PoC 익스플로잇 코드 가 GitHub에서 공개된 CVE-2024-4577로 인해, CVE-2024-4577은 실전 공격에서 적극적으로 활용될 심각한 위험을 초래하며, 이는 방어자에게 높은 대응력과 증가된 사이버 보안 인식을 요구합니다. 다음을 신뢰하세요 SOC Prime의 완전한 제품군 을 통해, AI 기반 탐지 엔지니어링, 자동화된 위협 추적 및 탐지 스택 검증을 통해 사이버 방어의 블라인드 지점을 시기적절하게 식별 및 해결하고, 떠오르는 위협을 선제적으로 추적하며 탐지 노력을 우선시하여, 공격자보다 한 발 앞서 나가세요.