« `html
Nouvelle faille de sécurité critique impactant PHP
Une faille de sécurité majeure a été identifiée dans PHP, permettant potentiellement une exécution de code à distance dans certaines conditions précises.
Répertoriée sous le nom CVE-2024-4577, cette vulnérabilité concerne spécifiquement les versions de PHP installées sur les systèmes d’exploitation Windows.
D’après un chercheur en sécurité de DEVCORE, cette faille est définie comme une vulnérabilité d’injection d’argument CGI.
Ce défaut permet d’outrepasser les mesures de sécurité mises en place pour corriger une ancienne faille, enregistrée sous CVE-2012-1823.
Pour une analyse détaillée de cette vulnérabilité, vous pouvez consulter cet article de DEVCORE ici.
Lors de l’implémentation de PHP, l’équipe de développement n’a pas pris en compte la fonctionnalité « Best-Fit » de conversion d’encodage, présente dans Windows.
Cette négligence permet aux attaquants non authentifiés de contourner la protection précédente par le biais de séquences de caractères spécifiques.
En conséquence, du code arbitraire peut être exécuté sur des serveurs PHP distants à travers l’attaque par injection d’arguments.
Suite à une divulgation responsable réalisée le 7 mai 2024, un correctif a été mis à disposition dans les versions PHP 8.3.8, 8.2.20, et 8.1.29.
DEVCORE a averti que toutes les installations de XAMPP sur Windows sont vulnérables par défaut si elles sont configurées pour utiliser les paramètres régionaux pour le chinois traditionnel, le chinois simplifié ou le japonais.
La société taiwanaise recommande vivement aux administrateurs de délaisser l’ancien CGI PHP et d’opter pour une solution plus sécurisée telle que Mod-PHP, FastCGI ou PHP-FPM.
Réactions et mesures de sécurité
Selon Orange Tsai, chercheur en sécurité, cette vulnérabilité peut sembler simple, mais c’est précisément ce qui la rend inquiétante.
« Qui aurait pensé qu’un correctif, bien examiné et jugé sécurisé pendant 12 ans, pourrait être contourné à cause d’une fonctionnalité mineure de Windows ? », s’interroge Tsai.
Le Shadowserver Foundation a partagé sur X (anciennement Twitter) qu’il a déjà détecté des tentatives d’exploitation de cette faille contre ses serveurs honeypot dans les 24 heures suivant la divulgation publique.
WatchTowr Labs, quant à lui, a confirmé avoir réussi à créer un exploit pour CVE-2024-4577, rendant ainsi impératif l’application des correctifs les plus récents.
D’après Aliz Hammond, chercheur en sécurité chez WatchTowr Labs, « ce bug est particulièrement sournois avec un exploit très simple« .
Les utilisateurs ayant des configurations affectées par l’un des paramètres régionaux concernés (chinois simplifié ou traditionnel, ou japonais) sont fortement incités à appliquer les correctifs immédiatement en raison du risque élevé d’exploitation massive, étant donné la faible complexité de l’exploit.
Plus d’informations sur les risques associés à cette vulnérabilité peuvent être trouvées sur CyberInsider.
La communauté de la cybersécurité recommande une vigilance accrue et une mise à jour rapide des systèmes pour se protéger contre d’éventuelles attaques exploitant cette nouvelle vulnérabilité.
Les administrateurs doivent dès maintenant examiner leurs configurations et appliquer les mesures de sécurité nécessaires pour assurer la protection de leurs systèmes PHP sous Windows.
Pour plus de contenu exclusif sur la cybersécurité, suivez-nous sur Twitter et LinkedIn.
Les Enjeux de la Faille CVE-2024-4577 pour les Entreprises
Cette faille CVE-2024-4577 représente un risque considérable pour les entreprises utilisant PHP sur leurs serveurs Windows.
La possibilité d’une exécution de code à distance permettrait à des attaquants de prendre le contrôle total des serveurs vulnérables.
Cela pourrait entraîner des vols de données sensibles, des interruptions de service, voire l’installation de logiciels malveillants.
Les entreprises opérant avec des configurations affectées par les paramètres régionaux chinois ou japonais doivent être particulièrement vigilantes étant donné la simplicité de l’exploitation de cette vulnérabilité.
La prolifération rapide des tentatives d’exploitation observée par le Shadowserver Foundation et WatchTowr Labs souligne la nécessité urgente de remédier à cette faille pour éviter des impacts potentiellement dévastateurs.
Actions Prioritaires pour Protéger Vos Systèmes
Pour atténuer le risque lié à cette vulnérabilité, il est impératif que les administrateurs mettent à jour leurs versions de PHP vers les dernières révisions sécurisées : PHP 8.3.8, 8.2.20, ou 8.1.29.
En outre, il est recommandé de remplacer le vieillissant CGI PHP par des alternatives plus sécurisées telles que Mod-PHP, FastCGI ou PHP-FPM.
Les configurations doivent être minutieusement vérifiées et ajustées pour ne pas utiliser les paramètres régionaux vulnérables.
Une surveillance continue des serveurs pour détecter toute activité suspecte est également cruciale.
En adoptant ces mesures, les entreprises peuvent grandement renforcer la sécurité de leurs systèmes et prévenir d’éventuelles intrusions malveillantes.
« `
