Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

CVE-2024-4577: La Vulnerabilità PHP Sfruttata entro 24 Ore dalla Sua Scoperta

Sandro Sana : 12 Luglio 2024 08:26

Nel giugno 2024, è stata resa pubblica una grave vulnerabilità nel linguaggio di programmazione PHP, identificata come CVE-2024-4577. Questa falla di sicurezza colpisce le installazioni di PHP che operano in modalità CGI (Common Gateway Interface) ed è particolarmente critica per le installazioni su sistemi Windows con impostazioni locali in cinese e giapponese. Tuttavia, non si esclude che possa interessare un numero più ampio di configurazioni​ (Akamai)​​.

Dettagli della Vulnerabilità

La vulnerabilità è presente nelle versioni di PHP 8.1., 8.2., e 8.3.*, precedenti rispettivamente alle versioni 8.1.29, 8.2.20, e 8.3.8. La falla è causata dal modo in cui PHP e i gestori CGI interpretano determinati caratteri Unicode, permettendo agli aggressori di eseguire codice remoto (Remote Code Execution, RCE) inviando codice PHP che viene successivamente interpretato erroneamente dal server. Questo tipo di attacco sfrutta l’input php://input, un flusso I/O di sola lettura che consente di leggere i dati grezzi dal corpo della richiesta​.

Modalità di Sfruttamento

Gli attacchi sfruttano l’input php://input, un flusso I/O di sola lettura che permette di leggere i dati grezzi dal corpo della richiesta. Questo metodo consente di inserire codice malevolo che viene eseguito prima del codice principale del file PHP. Una tecnica comune è l’uso dell’opzione auto_prepend_file di PHP, che specifica un file da analizzare automaticamente prima del file principale. Questo assicura che il codice dell’attaccante venga eseguito per primo. Inoltre, viene spesso utilizzata l’opzione allow_url_include, che abilita il recupero di dati da posizioni remote tramite funzioni come fopen e file_get_contents​.


Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


    • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    In modalità CGI, il server web analizza le richieste HTTP e le passa a uno script PHP per ulteriori elaborazioni. Questo può lasciare aperta una via per l’iniezione di comandi, poiché i parametri delle query vengono passati al PHP interpreter tramite la linea di comando. Ad esempio, una richiesta del tipo http://host/cgi.php?foo=bar potrebbe essere eseguita come php.exe cgi.php foo=bar, lasciando aperta la possibilità di eseguire comandi arbitrari se gli input non vengono correttamente sanitizzati​.

    Impatti e Conseguenze

    Il primo giorno dopo la divulgazione della vulnerabilità, il team di Akamai ha osservato numerosi tentativi di sfruttamento, segnalando la rapidità con cui gli attori malevoli hanno adottato questa vulnerabilità. Gli attacchi osservati includono iniezioni di comandi e l’implementazione di vari malware, tra cui Gh0st RAT, miner di criptovalute come RedTail e XMRig. Questi attacchi dimostrano l’alta criticità e la facile sfruttabilità della vulnerabilità, con conseguenze potenzialmente devastanti per i sistemi compromessi​​.

    Descrizione dei Malware Utilizzati

    • Gh0st RAT: Gh0st RAT (Remote Access Trojan) è un malware utilizzato per il controllo remoto di sistemi infetti. Permette agli attaccanti di eseguire comandi da remoto, rubare informazioni sensibili, catturare schermate, registrare audio e video, e trasferire file. Questo malware è noto per la sua versatilità e la capacità di nascondersi nei sistemi infetti, rendendo difficile la sua rilevazione e rimozione​.
    • RedTail Cryptominer: RedTail è un miner di criptovalute che sfrutta le risorse del sistema infetto per minare criptovalute senza il consenso dell’utente. Questo tipo di malware consuma una quantità significativa di risorse di sistema, causando rallentamenti e potenziali danni hardware dovuti al surriscaldamento​.
    • XMRig: XMRig è un altro esempio di software di mining di criptovalute, specificamente progettato per minare Monero (XMR). Questo malware è altamente efficiente nel mascherare la sua presenza e può operare silenziosamente in background, riducendo al minimo la possibilità di essere rilevato dall’utente o dai software di sicurezza​.
    • Muhstik: Muhstik è un noto botnet malware che colpisce principalmente server basati su Linux. Viene utilizzato per lanciare attacchi DDoS (Distributed Denial of Service), eseguire criptominazioni, e propagare ulteriori malware. Muhstik è in grado di auto-propagarsi sfruttando vulnerabilità note e può compromettere rapidamente reti estese​.
    • RAT (Remote Access Trojan): I RAT sono trojan che permettono agli attaccanti di controllare completamente i sistemi infetti da remoto. Questi malware possono rubare dati, installare altri malware, monitorare le attività degli utenti, e trasformare i computer infetti in parte di una botnet per ulteriori attacchi. La loro caratteristica principale è la capacità di nascondersi efficacemente per evitare il rilevamento e la rimozione.

    Indicatori di Compromissione (IOCs)

    Gli Indicatori di Compromissione (IOCs) sono elementi di dati che suggeriscono una potenziale compromissione del sistema. Nel contesto della vulnerabilità CVE-2024-4577, gli IOCs possono includere:

    • Traffico di rete anomalo: Rilevamento di comunicazioni con server noti per essere utilizzati da attori malevoli.
    • File sospetti: Presenza di file sconosciuti o non autorizzati nelle directory dei server PHP, specialmente quelli specificati tramite auto_prepend_file.
    • Processi in esecuzione: Processi PHP o web server che eseguono comandi inusuali o che consumano eccessive risorse di sistema.
    • Log di sistema: Voci nei log del server che indicano tentativi di accesso non autorizzato o l’esecuzione di script PHP non previsti.
    • Modifiche ai file di configurazione: Alterazioni non autorizzate dei file di configurazione PHP, specialmente quelli che abilitano l’inclusione di URL remoti o specificano file da eseguire automaticamente​.

    Identificazione della Vulnerabilità tramite Threat Intelligence

    L’identificazione e la mitigazione delle minacce come la vulnerabilità CVE-2024-4577 possono essere effettuate tramite l’uso di Threat Intelligence, che include:

    • Monitoraggio dei Threat Feeds: Iscriversi a servizi di threat intelligence per ricevere aggiornamenti tempestivi su nuove vulnerabilità e indicatori di compromissione.
    • Analisi dei Log: Utilizzare strumenti di analisi dei log per identificare attività sospette o anomale nei log del server.
    • Implementazione di Sistemi di Intrusion Detection/Prevention (IDS/IPS): Questi sistemi possono rilevare e prevenire tentativi di sfruttamento delle vulnerabilità noti.
    • Patch Management: Implementare un processo di gestione delle patch efficace per assicurarsi che tutte le vulnerabilità note siano tempestivamente corrette.
    • Audit di Sicurezza: Condurre regolari audit di sicurezza per identificare e correggere potenziali punti deboli nel sistema​.

    Misure di Protezione e Mitigazione

    Per proteggersi da questa vulnerabilità, è fondamentale che le organizzazioni aggiornino immediatamente le loro installazioni di PHP alle versioni più recenti. Akamai ha implementato misure di mitigazione tramite il loro servizio App & API Protector, che protegge i clienti bloccando automaticamente gli exploit noti. Inoltre, nel loro blog, Akamai ha fornito una lista completa degli indicatori di compromesso (IOCs) per aiutare le organizzazioni a identificare e rispondere agli attacchi​.

    Conclusione

    La vulnerabilità CVE-2024-4577 rappresenta una seria minaccia per le installazioni di PHP in modalità CGI. La rapidità con cui è stata sfruttata dimostra la necessità per le organizzazioni di adottare misure di sicurezza tempestive e proattive. Aggiornare PHP alle versioni più sicure e utilizzare soluzioni di mitigazione automatica come quelle offerte da Akamai sono passi cruciali per proteggere i sistemi da attacchi futuri.

    Sandro Sana
    Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

    Lista degli articoli
    Visita il sito web dell'autore

    Articoli in evidenza

    Come previsto, il bug di WinRAR è diventato un’arma devastante per i cyber criminali
    Di Redazione RHC - 12/08/2025

    Come era prevedibile, il famigerato bug scoperto su WinRar, viene ora sfruttato attivamente dai malintenzionati su larga scala, vista la diffusione e la popolarità del software. Gli esperti di ES...

    Basta Dazi per 90 Giorni! Cina e USA raggiungono un accordo economico temporaneo
    Di Redazione RHC - 12/08/2025

    Il Governo della Repubblica Popolare Cinese (“Cina”) e il Governo degli Stati Uniti d’America (“USA”), secondo quanto riportato da l’agenzia di stampa Xinhua ...

    Microsoft sotto accusa in California per la fine del supporto di Windows 10
    Di Redazione RHC - 12/08/2025

    In California è stata intentata una causa contro Microsoft, accusandola di aver interrotto prematuramente il supporto per Windows 10 e di aver costretto gli utenti ad acquistare nuovi dispositivi...

    James Cameron: l’IA può causare devastazione come Skynet e Terminator
    Di Redazione RHC - 10/08/2025

    “Il sistema di difesa militare Skynet entrerà in funzione il 4 agosto 1997. Comincerà ad autoistruirsi imparando a ritmo esponenziale e diverrà autocosciente alle 2:14 del giorno...

    Gli EDR vanno ancora offline! Crescono le minacce con i figli di EDRKillShifter
    Di Redazione RHC - 10/08/2025

    Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility ED...