PHPの脆弱性でWindows サーバーでリモート コードを実行される可能性(CVE-2024-4577)

2024年6月海外のセキュリティコンサルティング企業「DEVCORE」によって、WindowsOSにインストールされているすべてのバージョンの PHP に影響を及ぼす CGI 引数インジェクションの脆弱(CVE-2024-4577、JVNDB-2024-003292)を指摘しました。緊急度が高く対象の場合、バージョンアップをお勧めします。

脆弱性:CVE-2024-4577の概要

CVE-2024-4577として追跡されているこの脆弱性は、Windows OSにインストールされているすべてのバージョンの PHP に影響を及ぼす CGI 引数インジェクションの脆弱性とされます。

DEVCOREによると、この脆弱性 CVE-2024-4577により、別のセキュリティ上の欠陥CVE-2012-1823に対して導入された保護措置を回避できるようになるとのことです。

DEVCORE は、繁体字中国語、簡体字中国語、または日本語のロケールを使用するように構成されている場合、

影響を受けるPHP バージョン

・PHP 5.0.0 以上 8.1.29 未満
・PHP 8.2.0 以上 8.2.20 未満
・PHP 8.3.0 以上 8.3.8 未満

脆弱性を悪用する試みを確認

ランサムウェア攻撃グループ「TellYouThePass」がこの脆弱性を利用してサイバー攻撃を行っている事が指摘されました。

関連記事

ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)

修正バージョン

以下バージョン以降でパッチがリリースされています。

  • PHP 8.3.8
  • PHP 8.2.20
  • PHP 8.1.29

なお、PHP 8.0、PHP 7、および PHP 5はサポートが終了している為、

軽減措置を適用するかアップグレードする事を勧めています。

引用:Security Alert: CVE-2024-4577 – PHP CGI Argument Injection Vulnerability

脆弱性 CVE-2024-4577を悪用するハッカー達

2024年6月11日 海外のセキュリティコンサルティング企業「Imperva 」が、ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性(CVE-2024-4577)を悪用し、ランサムウェア攻撃を行っている事を指摘しました。

2024年8月20日にシマンテックが別の脅威アクターが台湾の大学をサイバー攻撃を実施する際に、PHPの脆弱性(CVE-2024-4577)を悪用して新しいバックドア Msupedgeを確認したと発表しました。

知ると面白い記事

多要素認証で約99%のセキュリティリスクを削減できる Microsoftが発表

偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導

全ての Wi-Fi クライアントへ影響する脆弱性が観測される(CVE-2023-52424 )

ランサムウェア 事例|被害の内容をランサムウェアの種類や企業別に解説

TOPへ