TIC Defense te cuenta todo acerca de una vulnerabilidad crítica en lenguaje de programación PHP
Hace poco tiempo se publicó una alerta de seguridad bastante extensa, la cual es una vulnerabilidad crítica de PHP que puede derivar en una inyección de datos de forma remota. Esta vulnerabilidad puede ser explotada en todas las versiones de PHP para el sistema operativo de Windows.
En específico, en aquellas configuraciones cuyo idioma es el chino tradicional, chino simplificado y japonés. Incluso, dicha vulnerabilidad puede aparecer en instalaciones predeterminadas del software XAMPP. En la actualidad, existen diferentes pruebas de concepto con exploits públicos, los cuales ponen en evidencia dicha vulnerabilidad.
Esta vulnerabilidad tiene una puntuación de 9.8, según la medición CVSS. Además, según el NIST, la amenaza está basada en que el motor CGI no escapa de un guion suave o 0xAD, quien recibe código PHP y aplica el llamado mapeo “best fit”. Esto debido a que puede interpretar que se quiere poner un guion normal en su ñugar, lo que permite que un actor malicioso pueda añadir argumentos extra para poder explotar esta vulnerabilidad.
Por si no lo sabías, PHP es un lenguaje de programación usado casi en su totalidad para el desarrollo de páginas web dinámicas y aplicaciones web. Este lenguaje funciona en el servidor y se integra con facilidad a HTML y algunas bases de datos como MySQL.
Gracias a que es un lenguaje de programación sencillo y tiene una amplia documentación, PHP es popular entre los desarrolladores actuales, ya que les permite crear sitio y aplicaciones web robustas, rápido y de manera eficiente.
Esta vulnerabilidad aplica a las siguientes versiones de PHP, desde la 8.3, pasando por la 8.2 y 8.1. Las versiones anteriores, que ya no tienen soporte, tales como PHP 8, PHP 7 y PHP 5, presentan esta vulnerabilidad.
Para que la vulnerabilidad pueda ejecutarse, primero, el lenguaje PHP debe estar configurado en modo CGI. Además, es posible que la explotación se lleve a cabo si los binarios php.exe o php-cgi.exe se encuentren expuestos, lo que sucede en todas las instalaciones por defecto de XAMPP para Windows.
TIC Defense se encarga de la monitorización proactiva del perímetro de las empresas de nuestros clientes, con el objetivo de informar, detectar y notificar con extrema urgencia la presencia de esta y otras vulnerabilidades. Esto como parte de nuestro servicio de amenazas y vulnerabilidades emergentes. Además, nuestros equipos se encuentran monitorizando todo tipo de vulnerabilidades, amenazas y exploits críticos que podrían causar un impacto negativo sobre la seguridad de tus activos.
Para mitigar este problema, los expertos de TIC Defense recomiendan con urgencia que actualices el software PHP a una de las nuevas versiones parcheadas que corrigen esta vulnerabilidad, las cuales son: versiones PHP 8.3.8, PHP 8.2.20 y PHP 8.1.29. Igualmente, una mitigación temporal para las instalaciones en chino tradicional, chino simplificado y japonés, serían reescribiendo reglas y comentar líneas en los ficheros de XAMPP.
Por último, la presencia de la vulnerabilidad puede ser identificada a través del número de versión anteriormente mencionado. Del mismo modo, puede identificarse mediante el uso de scripts o plantillas de “Nuclei”.
Te recomendamos que apliques el parche de seguridad con extrema urgencia, debido a que los hackers maliciosos ya están empleando el ransomware llamado TellYouThePass para explotar esta vulnerabilidad activamente.
