Новая уязвимость PHP

Стало известно о новой критической уязвимости CVE-2024-4577 в PHP-CGI — интерфейсе, позволяющем выполнять PHP-код в веб-приложении и осуществлять работу сайта.

Специалисты BI.ZONE оперативно разработали правила для предотвращения эксплуатации уязвимости со стороны злоумышленников.

Обнаруженная ошибка позволяет злоумышленнику обойти защиту от уязвимости CVE-2012-1823, используя определенные лингвистические кодировки, и выполнить произвольный программный PHP-код на языке сервера веб-приложения.

Специалисты BI.ZONE WAF и команда анализа защищенности BI.ZONE оперативно разработали правила блокировки, которые помогают выявить в HTTP-запросе методы обхода защиты от CVE-2012-1823 в разных кодировках. Это позволяет обнаружить технику атаки и предотвратить аномальную активность.

Обнаруженная уязвимость распространяется вплоть до версий 8.1.29, 8.2.20, 8.3.8 на Windows. Исследователи уже проверили и подтвердили корректность работы уязвимости в версиях Windows со следующими локализациями: Traditional Chinese (Code Page 950), Simplified Chinese (Code Page 936), Japanese (Code Page 932).

Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE, говорит: «Мы рекомендуем оперативно установить обновление до последней версии PHP, чтобы предотвратить потенциальный наплыв кибератак на веб-приложения. Если сейчас у компании нет такой возможности, защитить сайт от новой критической уязвимости поможет межсетевой экран защиты веб-приложений BI.ZONE WAF».

Оценку по шкале CVSS обнаруженная уязвимость пока не получила. Но из-за широкого использования языка программирования PHP в веб-экосистеме оценка исследователей сейчас варьируется от 9,8 до 10.

О компании

BI.ZONE — компания по управлению цифровыми рисками, она помогает организациям безопасно развивать бизнес в киберпространстве. BI.ZONE разрабатывает собственные продукты для обеспечения устойчивости IT‑инфраструктур любого размера и оказывает широкий спектр услуг по киберзащите: от расследования инцидентов и мониторинга угроз до создания стратегий по кибербезопасности и комплексного аутсорсинга профильных функций. С 2016 года компания реализовала более 1200 проектов в сферах финансов, телекоммуникаций, энергетики, авиации и многих других, защитив свыше 600 клиентов в 15 странах мира.

 

 

Похожие записи