O XAMPP e outros servidores web PHP foram atacados por hackers. Recentemente, especialistas em segurança cibernética relataram uma vulnerabilidade grave na popular linguagem de programação PHP, que permite que invasores executem remotamente códigos maliciosos em dispositivos Windows. A vulnerabilidade foi identificada como CVE-2024-4577.
Fonte da imagem: Caspar Camille Rubin/Unsplash
Segundo especialistas, essa vulnerabilidade é muito fácil de explorar graças ao recurso Best Fit integrado ao Windows, que converte incorretamente alguns caracteres Unicode em PHP. Os invasores podem usar injeção de argumentos para enganar o interpretador PHP e fazê-lo executar comandos arbitrários, relata Ars Technica.
A vulnerabilidade afeta versões do PHP executadas em modo CGI, onde o servidor web passa solicitações HTTP ao interpretador PHP para processamento. No entanto, mesmo que o modo CGI não seja usado, instalações PHP com executáveis interpretadores acessíveis externamente podem ser atacadas. Esta configuração é habilitada por padrão no popular pacote XAMPP para Windows.
Os pesquisadores demonstraram como um invasor pode transformar uma solicitação HTTP inócua em um comando para iniciar um interpretador PHP com argumentos adicionais que permitem a execução remota de código PHP a partir do corpo da solicitação. Injetar o argumento “-d permitir_url_include=1 -d auto_prepend_file=php://input” aceitará a seguinte entrada:
Fonte da imagem: arstechnica.com
E para confirmar que o objetivo do RCE foi alcançado, a página phpinfo.php deverá aparecer. Isto contorna a proteção contra uma vulnerabilidade semelhante de 2012 (CVE-2012-1823).
Fonte da imagem: arstechnica.com
Depois de publicar detalhes da vulnerabilidade, a organização Shadowserver começou a escanear a Internet e descobriu milhares de servidores vulneráveis. Dada a facilidade de ataque, o perigo potencial e o uso generalizado de PHP, os especialistas recomendam que os administradores instalem imediatamente um patch para evitar possíveis ataques.
A vulnerabilidade foi descoberta por Orange Tsai da Devcore como parte de uma auditoria de segurança PHP. Segundo ele, apesar da trivialidade, esse erro é de grande interesse para a pesquisa. Os desenvolvedores de PHP lançaram uma correção no mesmo dia após o relatório, quinta-feira, 6 de junho.