{"id":7135,"date":"2024-06-12T16:49:27","date_gmt":"2024-06-12T21:49:27","guid":{"rendered":"https:\/publicacion\/alerta-2024-16-vulnerabilidad-rce-en-php-cgi-sobre-sistemas-windows\/"},"modified":"2024-10-22T08:11:30","modified_gmt":"2024-10-22T13:11:30","slug":"2024-16-vulnerabilidad-rce-en-php-cgi-en-sistemas-windows","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/2024-16-vulnerabilidad-rce-en-php-cgi-en-sistemas-windows\/","title":{"rendered":"Alerta 2024-16 Vulnerabilidad RCE en PHP CGI en sistemas Windows"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\"><strong>Producto(s) afectado(s):<\/strong><\/h2>\n\n<ul class=\"wp-block-list\">\n<li>La vulnerabilidad <strong>CVE-2024-4577<\/strong> afecta a todas las versiones de PHP instaladas en sistemas Windows:<\/li>\n\n\n\n<li>PHP 8.3 &lt; 8.3.8<\/li>\n\n\n\n<li>PHP 8.2 &lt; 8.2.20<\/li>\n\n\n\n<li>PHP 8.1 &lt; 8.1.29<\/li>\n<\/ul>\n\n<p>Las ramas PHP <strong>8.0<\/strong>, <strong>7<\/strong> y <strong>5<\/strong> se encuentran en <strong>Fin de Vida (EOL<\/strong> ) y ya no reciben mantenimiento.<\/p>\n\n<h2 class=\"wp-block-heading\"><strong>Descripci\u00f3n:<\/strong><\/h2>\n\n<p>El <strong>6 de junio de 2024<\/strong>, el equipo de seguridad de <strong>DEVCORE<\/strong> alert\u00f3 sobre una vulnerabilidad de seguridad cr\u00edtica en el <strong>lenguaje de programaci\u00f3n PHP<\/strong>, concretamente en instalaciones en Windows. Esta vulnerabilidad se designa como <strong>CVE-2024-4577<\/strong>, con una puntuaci\u00f3n de gravedad de <strong>9,8<\/strong> (Cr\u00edtica). <\/p>\n\n<p>En las versiones listadas de PHP, al utilizar <strong>Apache<\/strong> y <strong>PHP-CGI<\/strong> en Windows, si el sistema est\u00e1 configurado para utilizar determinadas p\u00e1ginas de c\u00f3digo, Windows puede utilizar el comportamiento \u00abBest-Fit\u00bb para sustituir caracteres en la l\u00ednea de comandos proporcionada a funciones de la API Win32. El m\u00f3dulo PHP CGI puede malinterpretar estos caracteres como opciones PHP, permitiendo potencialmente a un actor malicioso pasar opciones al binario PHP en ejecuci\u00f3n, revelando as\u00ed el c\u00f3digo fuente de los scripts o ejecutando c\u00f3digo PHP arbitrario en el servidor (RCE), entre otros riesgos. <\/p>\n\n<p>Hay dos escenarios de configuraci\u00f3n vulnerables:<\/p>\n\n<ol class=\"wp-block-list\">\n<li><strong>Ejecutar PHP en modo CGI<\/strong><br\/>Al configurar la <strong>Directiva de Acci\u00f3n<\/strong> para asignar las peticiones HTTP correspondientes a un binario PHP-CGI ejecutable en el servidor HTTP Apache, se puede explotar directamente esta vulnerabilidad. Las configuraciones afectadas m\u00e1s comunes son <strong>Configuraci\u00f3n A<\/strong> <\/li>\n<\/ol>\n\n<pre class=\"wp-block-code\"><code>   AddHandler cgi-script .php  \n   Action cgi-script \"\/cgi-bin\/php-cgi.exe\"  <\/code><\/pre>\n\n<p><strong>Configuraci\u00f3n B<\/strong><\/p>\n\n<pre class=\"wp-block-code\"><code>   &lt;FilesMatch \"\\.php$\"&gt;  \n   SetHandler application\/x-httpd-php-cgi  \n   &lt;\/FilesMatch&gt;  \n\n   Action application\/x-httpd-php-cgi \"\/php-cgi\/php-cgi.exe\"  <\/code><\/pre>\n\n<ol start=\"2\" class=\"wp-block-list\">\n<li>Exposici\u00f3n <strong>del<\/strong> binario <strong>PHP<\/strong> &#8211; Configuraci\u00f3n por defecto en XAMPP<br\/>Si PHP no est\u00e1 configurado en modo CGI, esta vulnerabilidad tambi\u00e9n se ve afectada por la simple exposici\u00f3n del binario PHP ejecutable en el directorio CGI. Algunos escenarios comunes son: <\/li>\n<\/ol>\n\n<ul class=\"wp-block-list\">\n<li>Copia <strong>php.exe<\/strong> o <strong>php-cgi.exe<\/strong> al directorio <strong>\/cgi-bin\/<\/strong>.<\/li>\n\n\n\n<li>Exponiendo el directorio PHP mediante la directiva <strong>ScriptAlias<\/strong>, como por ejemplo:<\/li>\n<\/ul>\n\n<pre class=\"wp-block-code\"><code>   ScriptAlias \/php-cgi\/ \"C:\/xampp\/php\/\"  <\/code><\/pre>\n\n<p>Es importante se\u00f1alar que el segundo escenario es la configuraci\u00f3n por defecto de <strong>XAMPP para Windows<\/strong>, lo que significa que todas las versiones de instalaciones de XAMPP en Windows son vulnerables por defecto en el momento de la publicaci\u00f3n de este bolet\u00edn. El propio equipo de XAMPP desaconseja utilizar la versi\u00f3n gratuita en servidores de producci\u00f3n. <\/p>\n\n<p><a href=\"https:\/\/www.apachefriends.org\/faq_windows.html\">Amigos de Apache FAQ<\/a><\/p>\n\n<p>Recientemente, se han hecho p\u00fablicos varios exploits y PoCs para esta vulnerabilidad, lo que aumenta significativamente la probabilidad de explotaci\u00f3n. Tambi\u00e9n hay informes de grupos de ransomware que explotan esta vulnerabilidad en sus campa\u00f1as (como \u00abTellYouThePass\u00bb). <\/p>\n\n<p>En <strong>Shodan<\/strong>, se puede observar que existen aproximadamente <strong>1456 dispositivos vulnerables<\/strong> s\u00f3lo en M\u00e9xico.<\/p>\n\n<h2 class=\"wp-block-heading\"><strong>Impacto:<\/strong><\/h2>\n\n<p>Un actor malintencionado que pudiera estar ya dentro de la red podr\u00eda aprovechar esta vulnerabilidad para borrar parcial o totalmente las copias de seguridad, impidiendo as\u00ed la recuperaci\u00f3n a partir de una copia de seguridad.<\/p>\n\n<h2 class=\"wp-block-heading\"><strong>Mitigaci\u00f3n:<\/strong><\/h2>\n\n<p>Para los sistemas que no se puedan actualizar, se pueden utilizar las siguientes instrucciones para mitigar temporalmente la vulnerabilidad:<\/p>\n\n<p>Para los usuarios que no puedan actualizar PHP, se pueden utilizar las siguientes reglas de reescritura para bloquear los ataques. Ten en cuenta que estas reglas son s\u00f3lo una mitigaci\u00f3n temporal para las configuraciones regionales de <strong>chino tradicional<\/strong>, <strong>chino simplificado<\/strong> y <strong>japon\u00e9s<\/strong>: <\/p>\n\n<pre class=\"wp-block-code\"><code>RewriteEngine On  \nRewriteCond %{QUERY_STRING} ^%ad &#91;NC]  \nRewriteRule .? - &#91;F,L]  <\/code><\/pre>\n\n<p>Para los usuarios que utilicen <strong>XAMPP para Windows<\/strong>, cuyo equipo de desarrollo a\u00fan no ha publicado los archivos de actualizaci\u00f3n correspondientes para esta vulnerabilidad en el momento de redactar este bolet\u00edn, si confirmas que no necesitas la funci\u00f3n PHP CGI, puedes evitar la exposici\u00f3n a la vulnerabilidad modificando la siguiente configuraci\u00f3n en el servidor HTTP Apache:<\/p>\n\n<pre class=\"wp-block-code\"><code>C:\/xampp\/apache\/conf\/extra\/httpd-xampp.conf  <\/code><\/pre>\n\n<p>Dentro del archivo, comenta la l\u00ednea correspondiente a:<\/p>\n\n<pre class=\"wp-block-code\"><code>ScriptAlias \/php-cgi\/ \"C:\/xampp\/php\/\"  <\/code><\/pre>\n\n<p>Sin embargo, dado que PHP CGI es una arquitectura obsoleta, se recomienda considerar la migraci\u00f3n a una arquitectura m\u00e1s segura, como <strong>Mod-PHP<\/strong>, <strong>FastCGI<\/strong> o <strong>PHP-FPM<\/strong>.<\/p>\n\n<h2 class=\"wp-block-heading\"><strong>Soluci\u00f3n:<\/strong><\/h2>\n\n<p>Se recomienda a todos los usuarios que actualicen a las \u00faltimas versiones de PHP <strong>8.3.8<\/strong>, <strong>8.2.20<\/strong> y <strong>8.1.29<\/strong>. El enlace oficial de descarga es: <\/p>\n\n<p><a href=\"https:\/\/www.php.net\/downloads\">Descargar PHP<\/a><\/p>\n\n<p><\/p>\n","protected":false},"featured_media":6100,"template":"","class_list":["post-7135","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":true,"pdf":6101,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/7135","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":3,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/7135\/revisions"}],"predecessor-version":[{"id":7779,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/7135\/revisions\/7779"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/6100"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=7135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}