Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

CVE-2024-4577: La Vulnerabilità PHP Sfruttata entro 24 Ore dalla Sua Scoperta

Sandro Sana : 12 Luglio 2024 08:26

Nel giugno 2024, è stata resa pubblica una grave vulnerabilità nel linguaggio di programmazione PHP, identificata come CVE-2024-4577. Questa falla di sicurezza colpisce le installazioni di PHP che operano in modalità CGI (Common Gateway Interface) ed è particolarmente critica per le installazioni su sistemi Windows con impostazioni locali in cinese e giapponese. Tuttavia, non si esclude che possa interessare un numero più ampio di configurazioni​ (Akamai)​​.

Dettagli della Vulnerabilità

La vulnerabilità è presente nelle versioni di PHP 8.1., 8.2., e 8.3.*, precedenti rispettivamente alle versioni 8.1.29, 8.2.20, e 8.3.8. La falla è causata dal modo in cui PHP e i gestori CGI interpretano determinati caratteri Unicode, permettendo agli aggressori di eseguire codice remoto (Remote Code Execution, RCE) inviando codice PHP che viene successivamente interpretato erroneamente dal server. Questo tipo di attacco sfrutta l’input php://input, un flusso I/O di sola lettura che consente di leggere i dati grezzi dal corpo della richiesta​.

Modalità di Sfruttamento

Gli attacchi sfruttano l’input php://input, un flusso I/O di sola lettura che permette di leggere i dati grezzi dal corpo della richiesta. Questo metodo consente di inserire codice malevolo che viene eseguito prima del codice principale del file PHP. Una tecnica comune è l’uso dell’opzione auto_prepend_file di PHP, che specifica un file da analizzare automaticamente prima del file principale. Questo assicura che il codice dell’attaccante venga eseguito per primo. Inoltre, viene spesso utilizzata l’opzione allow_url_include, che abilita il recupero di dati da posizioni remote tramite funzioni come fopen e file_get_contents​.

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

In modalità CGI, il server web analizza le richieste HTTP e le passa a uno script PHP per ulteriori elaborazioni. Questo può lasciare aperta una via per l’iniezione di comandi, poiché i parametri delle query vengono passati al PHP interpreter tramite la linea di comando. Ad esempio, una richiesta del tipo http://host/cgi.php?foo=bar potrebbe essere eseguita come php.exe cgi.php foo=bar, lasciando aperta la possibilità di eseguire comandi arbitrari se gli input non vengono correttamente sanitizzati​.

Impatti e Conseguenze

Il primo giorno dopo la divulgazione della vulnerabilità, il team di Akamai ha osservato numerosi tentativi di sfruttamento, segnalando la rapidità con cui gli attori malevoli hanno adottato questa vulnerabilità. Gli attacchi osservati includono iniezioni di comandi e l’implementazione di vari malware, tra cui Gh0st RAT, miner di criptovalute come RedTail e XMRig. Questi attacchi dimostrano l’alta criticità e la facile sfruttabilità della vulnerabilità, con conseguenze potenzialmente devastanti per i sistemi compromessi​​.

Descrizione dei Malware Utilizzati

  • Gh0st RAT: Gh0st RAT (Remote Access Trojan) è un malware utilizzato per il controllo remoto di sistemi infetti. Permette agli attaccanti di eseguire comandi da remoto, rubare informazioni sensibili, catturare schermate, registrare audio e video, e trasferire file. Questo malware è noto per la sua versatilità e la capacità di nascondersi nei sistemi infetti, rendendo difficile la sua rilevazione e rimozione​.
  • RedTail Cryptominer: RedTail è un miner di criptovalute che sfrutta le risorse del sistema infetto per minare criptovalute senza il consenso dell’utente. Questo tipo di malware consuma una quantità significativa di risorse di sistema, causando rallentamenti e potenziali danni hardware dovuti al surriscaldamento​.
  • XMRig: XMRig è un altro esempio di software di mining di criptovalute, specificamente progettato per minare Monero (XMR). Questo malware è altamente efficiente nel mascherare la sua presenza e può operare silenziosamente in background, riducendo al minimo la possibilità di essere rilevato dall’utente o dai software di sicurezza​.
  • Muhstik: Muhstik è un noto botnet malware che colpisce principalmente server basati su Linux. Viene utilizzato per lanciare attacchi DDoS (Distributed Denial of Service), eseguire criptominazioni, e propagare ulteriori malware. Muhstik è in grado di auto-propagarsi sfruttando vulnerabilità note e può compromettere rapidamente reti estese​.
  • RAT (Remote Access Trojan): I RAT sono trojan che permettono agli attaccanti di controllare completamente i sistemi infetti da remoto. Questi malware possono rubare dati, installare altri malware, monitorare le attività degli utenti, e trasformare i computer infetti in parte di una botnet per ulteriori attacchi. La loro caratteristica principale è la capacità di nascondersi efficacemente per evitare il rilevamento e la rimozione.

Indicatori di Compromissione (IOCs)

Gli Indicatori di Compromissione (IOCs) sono elementi di dati che suggeriscono una potenziale compromissione del sistema. Nel contesto della vulnerabilità CVE-2024-4577, gli IOCs possono includere:

  • Traffico di rete anomalo: Rilevamento di comunicazioni con server noti per essere utilizzati da attori malevoli.
  • File sospetti: Presenza di file sconosciuti o non autorizzati nelle directory dei server PHP, specialmente quelli specificati tramite auto_prepend_file.
  • Processi in esecuzione: Processi PHP o web server che eseguono comandi inusuali o che consumano eccessive risorse di sistema.
  • Log di sistema: Voci nei log del server che indicano tentativi di accesso non autorizzato o l’esecuzione di script PHP non previsti.
  • Modifiche ai file di configurazione: Alterazioni non autorizzate dei file di configurazione PHP, specialmente quelli che abilitano l’inclusione di URL remoti o specificano file da eseguire automaticamente​.

Identificazione della Vulnerabilità tramite Threat Intelligence

L’identificazione e la mitigazione delle minacce come la vulnerabilità CVE-2024-4577 possono essere effettuate tramite l’uso di Threat Intelligence, che include:

  • Monitoraggio dei Threat Feeds: Iscriversi a servizi di threat intelligence per ricevere aggiornamenti tempestivi su nuove vulnerabilità e indicatori di compromissione.
  • Analisi dei Log: Utilizzare strumenti di analisi dei log per identificare attività sospette o anomale nei log del server.
  • Implementazione di Sistemi di Intrusion Detection/Prevention (IDS/IPS): Questi sistemi possono rilevare e prevenire tentativi di sfruttamento delle vulnerabilità noti.
  • Patch Management: Implementare un processo di gestione delle patch efficace per assicurarsi che tutte le vulnerabilità note siano tempestivamente corrette.
  • Audit di Sicurezza: Condurre regolari audit di sicurezza per identificare e correggere potenziali punti deboli nel sistema​.

Misure di Protezione e Mitigazione

Per proteggersi da questa vulnerabilità, è fondamentale che le organizzazioni aggiornino immediatamente le loro installazioni di PHP alle versioni più recenti. Akamai ha implementato misure di mitigazione tramite il loro servizio App & API Protector, che protegge i clienti bloccando automaticamente gli exploit noti. Inoltre, nel loro blog, Akamai ha fornito una lista completa degli indicatori di compromesso (IOCs) per aiutare le organizzazioni a identificare e rispondere agli attacchi​.

Conclusione

La vulnerabilità CVE-2024-4577 rappresenta una seria minaccia per le installazioni di PHP in modalità CGI. La rapidità con cui è stata sfruttata dimostra la necessità per le organizzazioni di adottare misure di sicurezza tempestive e proattive. Aggiornare PHP alle versioni più sicure e utilizzare soluzioni di mitigazione automatica come quelle offerte da Akamai sono passi cruciali per proteggere i sistemi da attacchi futuri.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...

Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...

WindTre comunica un DataBreach che ha coinvolto i sistemi dei rivenditori

Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006