コンテンツへスキップ

BLOG- セキュリティブログ -

新しいPHPの脆弱性がWindowsサーバーをリモートコード実行にさらす

PHPに影響を与える新たな重大なセキュリティ欠陥が明らかになり、特定の状況下でリモートコード実行が可能になる恐れがあることが判明しました。

この脆弱性はCVE-2024-4577として追跡されており、WindowsオペレーティングシステムにインストールされたすべてのバージョンのPHP

に影響を与えるCGI引数注入の脆弱性として説明されています。

DEVCOREのセキュリティ研究者によると、この欠陥により、別のセキュリティ欠陥CVE-2012-1823のために設置された保護を回避することが可能になります。

「PHPを実装する際、チームはWindowsオペレーティングシステム内のエンコーディング変換のベストフィット機能に気づきませんでした」とセキュリティ研究者のOrange Tsaiは言いました。

「この見落としにより、特定の文字列シーケンスを使用して認証されていない攻撃者がCVE-2012-1823の以前の保護を回避できるようになります。引数注入攻撃を通じてリモートPHPサーバー上で任意のコードを実行することが可能です。」

2024年5月7日に責任ある開示が行われた後、この脆弱性に対する修正がPHPバージョン8.3.8、8.2.20、および8.1.29で提供されています。

DEVCOREは、Windows上でのすべてのXAMPPインストールがデフォルトで脆弱であり、繁体字中国語、簡体字中国語、または日本語のロケールを使用するように設定されている場合に脆弱であると警告しています。

台湾の企業は、旧式のPHP CGIから完全に移行し、Mod-PHP、FastCGI、またはPHP-FPMのようなより安全なソリューションを選択するよう管理者に推奨しています。

「この脆弱性は非常にシンプルですが、それが興味深いところです。過去12年間にわたりレビューされ、安全とされてきたパッチが、Windowsのわずかな機能によって回避されるとは誰が思ったでしょうか?」とTsaiは述べました。

Shadowserver Foundationは、Xで共有された投稿で、公開から24時間以内にハニーポットサーバーに対する欠陥を利用した試みをすでに検出したと述べました。

watchTowr Labsは、CVE-2024-4577のためのエクスプロイトを考案し、リモートコード実行を実現できると述べており、ユーザーが迅速に最新のパッチを適用することが重要だとしています。

「非常にシンプルなエクスプロイトを伴う厄介なバグです」とセキュリティ研究者のAliz Hammondは言いました。

「影響を受けるロケール(簡体字中国語、繁体字中国語、日本語)のいずれかで影響を受ける構成で運用している場合、バグが低いエクスプロイトの複雑性のために大量に悪用される可能性が高いため、できるだけ早くこれを行うことが求められます。」