In maggio 2024, Orange Tsai, sviluppatore del team di Devcore, ha identificato una grave vulnerabilità nel linguaggio di scripting PHP, utilizzato per lo sviluppo web su piattaforme Windows e Linux. Questa falla, nota come CVE-2024-4577, consente potenzialmente ad hacker di eseguire codice malevolo su milioni di server Windows. Recentemente, esperti della cyber sicurezza di GreyNoise hanno confermato un uso crescente di questa vulnerabilità per attacchi informatici. È cruciale che utenti e amministratori comprendano i rischi e le misure da adottare per tutelare i propri sistemi.
Seguici su Google News
Ricevi i nostri aggiornamenti direttamente nel tuo feed di notizie personalizzato
Seguici ora
Indice dei contenuti
Dettagli sul CVE-2024-4577 e sul suo impatto
La vulnerabilità CVE-2024-4577 interessa tutte le versioni di PHP, dall’antica 5.x fino alle più recenti. Consentendo all’aggressore di inviare codice arbitrario a un server vulnerabile tramite una semplice richiesta HTTP, la criticità di questo problema ha attirato l’attenzione delle autorità di sicurezza. Nonostante siano già disponibili patch correttive, il numero di attacchi sfruttando questa falla sta aumentando, soprattutto tra le installazioni di PHP su Windows che rimangono obsolete e non aggiornate.
La gestione delle conversioni di codifica dei caratteri su Windows da parte di PHP rappresenta il cuore della vulnerabilità. Utilizzando la funzione ‘Best-Fit’, PHP può interpretare male certi caratteri. Quando PHP è eseguito in modalità CGI, ogni script processa i parametri di richiesta come argomenti da riga di comando. Questo stato di cose permette a un aggressore di comporre un URL malevolo, aggiungendo un parametro che contiene codice dannoso. Di conseguenza, gli hacker possono ottenere accesso non autorizzato e compiere azioni dannose, come installazione di malware e furto di dati sensibili.
La grande diffusione di installazioni vulnerabili, specialmente quelle con configurazioni di default, amplifica l’entità del problema. Molti sistemi, in particolare se installati su pacchetti come XAMPP per Windows, non riescono a seguire adeguatamente gli aggiornamenti, rendendo l’operazione di difesa sempre più difficile.
Misure di sicurezza per proteggersi dalla vulnerabilità
Per ridurre i rischi legati alla vulnerabilità CVE-2024-4577, il consiglio principale per gli utenti e gli amministratori di sistemi PHP su server Windows è quello di aggiornare immediatamente alle versioni più recenti del linguaggio. Tuttavia, in scenari in cui non è possibile l’aggiornamento immediato, come nel caso di versioni ormai giunte al termine del loro ciclo di vita, esistono delle precauzioni aggiuntive da seguire.
In particolare, dovrebbe essere implementata una regola mod_rewrite per bloccare le attese richieste malevole. I professionisti della sicurezza raccomandano l’uso della seguente regola nel server web:
apache
RewriteEngine On
RewriteCond %{QUERY_STRING} ^%ad [NC]
RewriteRule .? - [F,L]
In ambienti XAMPP, è utile commentare la direttiva ScriptAlias nel file di configurazione di Apache. Gli amministratori possono accertare se PHP viene eseguito in modalità CGI facendo uso della funzione phpinfo e controllando il valore di Server API nella pagina generata.
In aggiunta, la valutazione di alternative più sicure rispetto alla modalità CGI, come FastCGI, PHP-FPM e Mod-PHP, è altamente consigliata dai ricercatori di Devcore.
L’aumento degli attacchi e le strategie di risposta
Negli ultimi mesi, l’azienda di intelligence GreyNoise ha riportato un incremento decisivo nella quantità di tentativi di sfruttamento della vulnerabilità CVE-2024-4577, che ha avuto inizio a gennaio 2025. Secondo i report di Cisco Talos, gli attaccanti hanno inizialmente puntato su aziende per rubare credenziali, ma successivamente l’azione è evoluta verso tecniche più sofisticate.
Attraverso una semplice richiesta PHP, è possibile per i malintenzionati infiltrarsi nelle reti aziendali, guadagnare privilegi elevati e attivare movimenti laterali, consentendo loro di muoversi agevolmente tra diversi sistemi. Questo scenario evidenzia l’urgenza di adottare misure di sicurezza concrete per prevenire eventuali infiltrazioni e danni.
Rimanere informati sui rischi legati a questa vulnerabilità e agire tempestivamente rappresentano passaggi fondamentali per garantire la protezione dei server Windows e del software PHP in uso.
