NOTICIAS DE CIBERSEGURIDAD

Información para todos

Nueva vulnerabilidad crítica en PHP expone a los servidores de Windows

Recientemente, el investigador de seguridad Orange Tsai de Devcore identificó una vulnerabilidad en la conversión de caracteres Unicode a ASCII en Windows, específicamente en la función 'Best-Fit' cuando PHP opera en modo CGI. Este fallo permite a los atacantes evadir el proceso de escape y ejecutar comandos arbitrarios en el servidor mediante la sustitución de un guion normal (0x2D) por un guion corto o hyphen (0xAD) en una petición POST.

La organización Shadowserver informó a través de una publicación en X que detectó intentos de explotación contra sus servidores honeypot dentro de las 24 horas siguientes a la divulgación pública de la vulnerabilidad.

Impacto

La vulnerabilidad, catalogada como CVE-2024-4577, afecta a todas las versiones de PHP desde la 5.x hasta la 8.x. Es crucial que los usuarios de PHP 8.0, PHP 7.x (EoL) o PHP 5.x (EoL) actualicen a versiones más recientes o implementen las mitigaciones recomendadas. Las versiones que contienen los parches son PHP 8.3.8, PHP 8.2.20 y PHP 8.1.29.

Incluso si PHP no está configurado en modo CGI, los ejecutables php.exe o php-cgi.exe en directorios accesibles por el servidor web pueden ser explotados. La configuración predeterminada de XAMPP para Windows es particularmente vulnerable, sobre todo en configuraciones regionales en chino tradicional, chino simplificado y japonés.

Detalles de la explotación

Este fallo permite a los atacantes sortear protecciones previas (CVE-2012-1823) mediante secuencias específicas de caracteres. La conversión de Unicode en PHP utiliza un mapeo 'Best Fit' que interpreta un guion suave (0xAD) como un guion normal (0x2D), lo que permite introducir argumentos adicionales en la línea de comandos de PHP. Esta vulnerabilidad, similar a CVE-2012-1823, facilita la ejecución remota de código (RCE) a través de solicitudes HTTP manipuladas.

Orange Tsai demostró cómo una petición especialmente diseñada puede explotar este defecto para lograr RCE. Al usar un guion suave en lugar de un guion normal en una petición POST, los atacantes pueden evadir el proceso de escape y ejecutar comandos arbitrarios en el servidor.

Los administradores deben considerar migrar a alternativas más seguras como FastCGI, PHP-FPM o Mod-PHP. Además, es esencial revisar las configuraciones regionales de los sistemas y realizar evaluaciones exhaustivas para identificar posibles vulnerabilidades.

Cursos Online

-Compartir en redes-

Plataforma de capacitación

 

 

Nosotros

Somos una organización 100% MEXICANA cuyo objetivo es asesorar a las organizaciones en las mejores
prácticas de seguridad de la información.

Cómo denunciar acoso

 

 

Nuestro canal en Telegram