La vulnerabilidad CVE-2024-4577<\/strong>\u00a0afecta a todas las versiones de PHP instaladas en el sistema operativo Windows<\/strong>:<\/p>\n \u00a0Las ramas de PHP 8.0, PHP 7 y PHP 5 est\u00e1n en EOL y ya no reciben mantenimiento.<\/strong><\/p>\n El 6 de junio del 2024, el equipo de seguridad DEVCORE alert\u00f3 sobre el descubrimiento una falla de seguridad en el lenguaje de programaci\u00f3n PHP espec\u00edficamente en instalaciones sobre Windows. Dicha vulnerabilidad fue denominada como CVE-2024-4577<\/strong>, con una puntuaci\u00f3n de severidad de 9.8 (Critica).<\/p>\n En las versiones de PHP listadas, cuando se usa Apache y PHP-CGI en Windows, si el sistema est\u00e1 configurado para usar ciertas p\u00e1ginas de c\u00f3digos, Windows puede utilizar el comportamiento \u00abMejor ajuste\u00bb (\u00abBest-Fit\u201d) para reemplazar caracteres en la l\u00ednea de comando proporcionada a las funciones de la API de Win32. El m\u00f3dulo PHP CGI puede malinterpretar esos caracteres como opciones de PHP, lo que puede permitir a un actor malicioso pasar opciones al binario PHP que se est\u00e1 ejecutando y, por lo tanto, revelar el c\u00f3digo fuente de los scripts, ejecutar c\u00f3digo PHP arbitrario en el servidor (RCE), etc.<\/p>\n Existen dos escenarios de configuraci\u00f3n vulnerables:<\/p>\n Al configurar la\u00a0Directive Action para asignar las solicitudes HTTP correspondientes a un binario ejecutable PHP-CGI en el servidor HTTP Apache, esta vulnerabilidad se puede explotar directamente. Las configuraciones comunes que son afectadas incluyen:<\/p>\n Configuraci\u00f3n A<\/p>\n AddHandler <\/strong>cgi-script <\/strong>.php Configuraci\u00f3n B<\/p>\n <FilesMatch \u00ab\\.php$\u00bb><\/strong> Action<\/strong> application\/x-httpd-php-cgi \u00ab\/php-cgi\/php-cgi.exe\u00bb<\/p>\n Si el PHP no est\u00e1 configurado en el modo CGI, esta vulnerabilidad tambi\u00e9n se ve afectada por la simple exposici\u00f3n del binario ejecutable de PHP en el directorio CGI. Los escenarios comunes incluyen, entre otros:<\/strong><\/p>\n ScriptAlias \/php-cgi\/ \u00abC:\/xampp\/php\/\u00bb<\/p>\n Es importante se\u00f1alar que el segundo escenario es la configuraci\u00f3n predeterminada de\u00a0XAMPP para Windows<\/a>\u00a0, por lo que\u00a0todas las versiones de las instalaciones de XAMPP en Windows son vulnerables de forma predeterminada hasta el momento de la publicaci\u00f3n de este bolet\u00edn. No se recomienda utilizar XAMPP de licencia gratuita en servidores en producci\u00f3n, el mismo equipo de XAMPP hace esta aclaraci\u00f3n.<\/p>\n https:\/\/www.apachefriends.org\/faq_windows.html<\/p>\n Recientemente se hicieron p\u00fablicos varios exploits y PoC de esta vulnerabilidad, lo que aumenta por mucho la probabilidad de explotaci\u00f3n de esta vulnerabilidad. Tambien, ya existen reportes de Bandas de Ransomware explotando estas vulnerabilidad en sus campa\u00f1as (como \u201cTellYouThePass\u201d).<\/p>\n En el sitio Shodan se puede visualizar que existen alrededor de 1456 dispositivos vulnerables solo en M\u00e9xico.<\/p>\n Un actor malintencionado que pueda estar internamente en la red podr\u00eda aprovechar esta vulnerabilidad para borrar parcial o totalmente las copias de seguridad, con lo que no se podr\u00eda regresar a un respaldo para recuperar el funcionamiento.<\/p>\n Para los sistemas que no se pueden actualizar, se pueden utilizar las siguientes instrucciones para mitigar temporalmente la vulnerabilidad:<\/p>\n RewriteEngine<\/strong> On Dentro del archivo, comentar la l\u00ednea correspondiente a:<\/p>\n ScriptAlias \/php-cgi\/ \u00abC:\/xampp\/php\/\u00bb<\/p>\n Sin embargo, dado que PHP CGI es una arquitectura obsoleta, se recomienda evaluar la posibilidad de migrar a una arquitectura m\u00e1s segura como Mod-PHP, FastCGI o PHP-FPM.<\/p>\n Se recomienda a todos los usuarios que actualicen a las \u00faltimas versiones de PHP\u00a08.3.8<\/a>\u00a0,\u00a08.2.20<\/a>\u00a0y\u00a08.1.29<\/a>. A continuaci\u00f3n, se encuentra el enlace de descarga oficial:<\/p>\n https:\/\/www.php.net\/downloads<\/p>\n","protected":false},"featured_media":6100,"template":"","class_list":["post-10202","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":6101,"numero_de_boletin":"","traffic_light_protocol":false},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10202","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":0,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10202\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/6100"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=10202"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
Descripci\u00f3n<\/h2>\n
\n
\nAction cgi-script <\/strong>\u00ab\/cgi-bin\/php-cgi.exe\u00bb<\/p>\n
\nSetHandler<\/strong> application\/x-httpd-php-cgi
\n<\/FilesMatch><\/strong><\/p>\n\n
\n
Impacto<\/h2>\n
Mitigaci\u00f3n<\/h2>\n
\n
\nRewriteCond<\/strong> %{QUERY_STRING} ^%ad [NC]
\nRewriteRule<\/strong> .? – [F,L]<\/p>\n\n
Soluci\u00f3n<\/h2>\n