本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。
PHP-CGIの脆弱性(CVE-2024-4577)を狙った攻撃
今月は、PHP-CGIの脆弱性(CVE-2024-4577)を狙った攻撃が増加しました。本脆弱性は、Windows OS上のPHPにおいてシステムが特定のコードページに設定された場合に動作するBest-Fit機能(UnicodeをASCIIに変換する機能)に存在します。また、PHP CGIモジュールを使用している場合、攻撃者は本機能を悪用することで修正済みの脆弱性(CVE-2012-1823)をバイパスすることが可能となります。攻撃が成功した場合、リモートからコードを実行されてしまう恐れがあります。
下図は、本脆弱性を狙った攻撃の検知数推移です。弊社SOCでは、6/7(金)に初検知し、6/8(土)以降に検知数が増加しました。既にPoC(概念実証コード)が公開されており悪用事例も報告されているため、当該製品を使用されている場合は、早急に最新のバージョンにアップデートすることをお勧めします。
 |
以下は、弊社SOCで検知した攻撃例です。0xADが0x2D(ハイフン「-」のASCII値)と解釈されてしまうBest-Fit機能を悪用してPHP-CGIの脆弱性(CVE-2012-1823)で実装された修正をバイパスすることで、任意のコード実行を試みた通信となっています。
| POST /php-cgi/php-cgi.exe?%ADd+allow_url_include%3D1+%ADd+auto_prepend_file%3Dphp://input HTTP/1.1 User-Agent: python-requests/2.32.3 Host: example.com Content-Length: 23 <?php die('Te'.'sT');?> |
下表は、本脆弱性を狙った攻撃元国です。リトアニア、香港など複数の国からの攻撃を観測しています。
| # | 2024年6月 | |
| 1 | リトアニア | 28.8% |
| 2 | 香港 | 13.9% |
| 3 | フランス | 9.1% |
| 4 | アメリカ | 7.4% |
| 5 | シンガポール | 6.4% |
影響対象
Windows OSにインストールされたPHPがCGIモードで動作している環境が影響対象です。
- PHP 5.0.0 以上 8.1.29 未満
- PHP 8.2.0 以上 8.2.20 未満
- PHP 8.3.0 以上 8.3.8 未満
対策方法
最新のバージョンにアップデートしてください。なお、本脆弱性は以下のバージョンで修正されております。
- PHP 8.1.29
- PHP 8.2.20
- PHP 8.3.8
参考情報
- PHP – ChangeLog
- PHP 8.1.29 Released!
https://www.php.net/ChangeLog-8.php#8.1.29 - PHP 8.2.20 Released!
https://www.php.net/ChangeLog-8.php#8.2.20 - PHP 8.3.8 Released!
https://www.php.net/ChangeLog-8.php#8.3.8
- PHP 8.1.29 Released!
- CVE-2024-4577
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-4577
マネージドサービス事業部
MBSD-SOC
MBSD-SOC
おすすめ記事
