Sandro Sana : 12 Luglio 2024 08:26
Nel giugno 2024, è stata resa pubblica una grave vulnerabilità nel linguaggio di programmazione PHP, identificata come CVE-2024-4577. Questa falla di sicurezza colpisce le installazioni di PHP che operano in modalità CGI (Common Gateway Interface) ed è particolarmente critica per le installazioni su sistemi Windows con impostazioni locali in cinese e giapponese. Tuttavia, non si esclude che possa interessare un numero più ampio di configurazioni (Akamai).
La vulnerabilità è presente nelle versioni di PHP 8.1., 8.2., e 8.3.*, precedenti rispettivamente alle versioni 8.1.29, 8.2.20, e 8.3.8. La falla è causata dal modo in cui PHP e i gestori CGI interpretano determinati caratteri Unicode, permettendo agli aggressori di eseguire codice remoto (Remote Code Execution, RCE) inviando codice PHP che viene successivamente interpretato erroneamente dal server. Questo tipo di attacco sfrutta l’input php://input
, un flusso I/O di sola lettura che consente di leggere i dati grezzi dal corpo della richiesta.
Gli attacchi sfruttano l’input php://input
, un flusso I/O di sola lettura che permette di leggere i dati grezzi dal corpo della richiesta. Questo metodo consente di inserire codice malevolo che viene eseguito prima del codice principale del file PHP. Una tecnica comune è l’uso dell’opzione auto_prepend_file
di PHP, che specifica un file da analizzare automaticamente prima del file principale. Questo assicura che il codice dell’attaccante venga eseguito per primo. Inoltre, viene spesso utilizzata l’opzione allow_url_include
, che abilita il recupero di dati da posizioni remote tramite funzioni come fopen
e file_get_contents
.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
In modalità CGI, il server web analizza le richieste HTTP e le passa a uno script PHP per ulteriori elaborazioni. Questo può lasciare aperta una via per l’iniezione di comandi, poiché i parametri delle query vengono passati al PHP interpreter tramite la linea di comando. Ad esempio, una richiesta del tipo http://host/cgi.php?foo=bar
potrebbe essere eseguita come php.exe cgi.php foo=bar
, lasciando aperta la possibilità di eseguire comandi arbitrari se gli input non vengono correttamente sanitizzati.
Il primo giorno dopo la divulgazione della vulnerabilità, il team di Akamai ha osservato numerosi tentativi di sfruttamento, segnalando la rapidità con cui gli attori malevoli hanno adottato questa vulnerabilità. Gli attacchi osservati includono iniezioni di comandi e l’implementazione di vari malware, tra cui Gh0st RAT, miner di criptovalute come RedTail e XMRig. Questi attacchi dimostrano l’alta criticità e la facile sfruttabilità della vulnerabilità, con conseguenze potenzialmente devastanti per i sistemi compromessi.
Gli Indicatori di Compromissione (IOCs) sono elementi di dati che suggeriscono una potenziale compromissione del sistema. Nel contesto della vulnerabilità CVE-2024-4577, gli IOCs possono includere:
auto_prepend_file
.L’identificazione e la mitigazione delle minacce come la vulnerabilità CVE-2024-4577 possono essere effettuate tramite l’uso di Threat Intelligence, che include:
Per proteggersi da questa vulnerabilità, è fondamentale che le organizzazioni aggiornino immediatamente le loro installazioni di PHP alle versioni più recenti. Akamai ha implementato misure di mitigazione tramite il loro servizio App & API Protector, che protegge i clienti bloccando automaticamente gli exploit noti. Inoltre, nel loro blog, Akamai ha fornito una lista completa degli indicatori di compromesso (IOCs) per aiutare le organizzazioni a identificare e rispondere agli attacchi.
La vulnerabilità CVE-2024-4577 rappresenta una seria minaccia per le installazioni di PHP in modalità CGI. La rapidità con cui è stata sfruttata dimostra la necessità per le organizzazioni di adottare misure di sicurezza tempestive e proattive. Aggiornare PHP alle versioni più sicure e utilizzare soluzioni di mitigazione automatica come quelle offerte da Akamai sono passi cruciali per proteggere i sistemi da attacchi futuri.
Il team di Darklab, la community di esperti di threat intelligence di Red Hot Cyber, ha individuato un annuncio sul marketplace del dark web “Tor Amazon”, l’analogo criminale del celebre e-comme...
Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...
Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle preced...
Un avanzato sistema di backdoor associato al noto gruppo di cyber spionaggio russo APT28 permette ai malintenzionati di scaricare dati, caricare file e impartire comandi su pc infettati. Questo sistem...
La Red Hot Cyber Conference è ormai un appuntamento fisso per la community di Red Hot Cyber e per tutti coloro che operano o nutrono interesse verso il mondo delle tecnologie digitali e della sicurez...