Yeni PHP Güvenlik Açığı, Windows Sunucularında Uzaktan Kod Çalıştırılmasına Olanak Sağlıyor

11.06.2024

PHP'de, belirli koşullar altında uzaktan kod çalıştırmayı mümkün kılan kritik bir güvenlik açığıyla ilgili detaylar ortaya çıktı.

CVE-2024-4577 olarak tanımlanan bu güvenlik açığı, Windows işletim sistemi üzerindeki tüm PHP sürümlerini etkileyen bir CGI argüman enjeksiyon hatasıdır.

DEVCORE güvenlik araştırmacılarına göre, bu güvenlik açığı, CVE-2012-1823 olarak bilinen önceki bir açığa karşı kurulan korumaları aşmayı mümkün kılıyor.

"Geliştirici ekip, PHP'yi uygularken Windows işletim sistemindeki kodlama dönüşümünün Best-Fit özelliğini gözden kaçırmış," dedi güvenlik araştırmacısı Orange Tsai.

"Bu gözden kaçırma, kimliği doğrulanmamış saldırganların CVE-2012-1823'ün önceki korumalarını belirli karakter dizileri kullanarak aşmasını sağlıyor. Sonuç olarak, argüman enjeksiyon saldırısı yoluyla uzaktaki PHP sunucularında keyfi kod çalıştırılabiliyor."

Sorumlu bir şekilde 7 Mayıs 2024'te yapılan açıklamanın ardından, PHP 8.3.8, 8.2.20 ve 8.1.29 sürümlerinde bir düzeltme yayınlandı.

DEVCORE, Windows üzerindeki tüm XAMPP kurulumlarının varsayılan olarak, Geleneksel Çince, Basitleştirilmiş Çince veya Japonca yerelleri kullanacak şekilde yapılandırıldığında savunmasız olduğunu belirtti.

Tayvan merkezli firma ayrıca yöneticilere, eski PHP CGI'den uzaklaşıp Mod-PHP, FastCGI veya PHP-FPM gibi daha güvenli çözümler benimsemelerini öneriyor.

"Bu güvenlik açığı inanılmaz derecede basit, bu da onu ilginç kılan şey," dedi Tsai. "12 yıldır güvenli olduğu düşünülen bir yamayı, küçük bir Windows özelliği nedeniyle aşılabileceği kimin aklına gelirdi?"

Shadowserver Foundation, X üzerinde paylaştığı bir gönderide, kamuya açıklamanın ardından geçen 24 saat içinde honeypot sunucularına yönelik istismar girişimlerini gözlemlediğini bildirdi.

watchTowr Labs, CVE-2024-4577 için bir exploit oluşturduğunu ve uzaktan kod çalıştırmayı başardığını duyurdu, bu da kullanıcılar için en son yamaları hemen uygulaması gerektiğini vurguluyor.

"Çok basit bir exploit ile çok kötü bir hata," diye belirtti güvenlik araştırmacısı Aliz Hammond.

"Etkilenen yerel ayarlarla çalışanlar, bu sorunu mümkün olan en kısa sürede ele almalı, çünkü hatanın düşük karmaşıklığı nedeniyle büyük ölçekte istismar edilme olasılığı yüksek."