Nieuwe PHP Updates: Kritieke Kwetsbaarheid Verholpen

Update en Kwetsbaarheid Inleiding

PHP heeft updates uitgebracht die een kritieke kwetsbaarheid (CVE-2024-4577) in de Windowsversie oplossen. Deze kwetsbaarheid maakt remote code execution (RCE) op de onderliggende server mogelijk. Een ongeautoriseerde aanvaller kan willekeurige code uitvoeren op servers waar PHP in de CGI mode draait en de Chinese of Japanse taal is ingesteld. De bekende beveiligingsonderzoeker Orange Tsai, die het probleem ontdekte, waarschuwt dat Windowssystemen met andere ingestelde talen mogelijk ook risico lopen. Organisaties worden dan ook dringend geadviseerd om naar de laatste PHP-versie te updaten.

Geschiedenis van de Kwetsbaarheid

In 2012 werd een kwetsbaarheid (CVE-2012-1823) in PHP gevonden die het mogelijk maakte om willekeurige code uit te voeren. Dit probleem werd destijds gepatcht. Echter, door een feature van Windows voor character conversion, is het mogelijk om via bepaalde ‘character sequences’ de patch voor CVE-2012-1823 te omzeilen en opnieuw code op de server uit te kunnen voeren. De nieuwe kwetsbaarheid werd op 7 mei aan het PHP-ontwikkelteam gerapporteerd en gisteren verschenen de updates PHP 8.3.8, 8.2.20 en 8.1.29 waarin het probleem is verholpen.

Details en Waarschuwingen

Orange Tsai heeft geen exacte details vrijgegeven over hoe remote code execution mogelijk is, maar onderzoekers van securitybedrijf Watchtower hebben wel een blogposting gepubliceerd waarin ze het uitvoeren van code demonstreren. De onderzoekers spreken over een ‘nasty bug’ en waarschuwen voor de grote kans op misbruik vanwege de eenvoud waarmee dit kan gebeuren. De Shadowserver Foundation rapporteert dat er al proof-of-concept exploitcode openbaar is en dat er testen tegen de honeypotservers van de organisatie zijn waargenomen.