【转载】PHP CGI 远程代码执行漏洞【CVE-2024-4577】勒索攻击,locked后缀加密和READ_ME9.html勒索解密联系方式,XAMPP网站防护方法

已于 2024-06-24 14:00:04 修改
阅读量87 收藏
点赞数
文章标签: 服务器 php
于 2024-06-24 13:54:24 首次发布
原文链接:https://www.bluepost.cn/xitongyunwei/php-cgi-cve-2024-4577-locked-read_me9-html-xampp.html
版权

【转载】PHP CGI 远程代码执行漏洞【CVE-2024-4577】勒索攻击,locked后缀加密和READ_ME9.html勒索解密联系方式,XAMPP网站防护方法

端午假期期间,一个熟悉的勒索病毒家族Tellyouthepass再度开启了新一轮的“攻势”。引发本轮传播的一个重要原因是CVE-2024-4577漏洞的PoC代码在6月7日时被首度发布到了公开网络上。很多使用Windows + XAMPP的服务器都中招了,我们可以通过升级PHP和禁用PHP CGI来防范该类攻击。

本次大范围在野攻击说明

本次locked勒索病毒通过XAMPP在PHP-CGI模式下远程代码执行漏洞(CVE-2024-4577)进行利用,该漏洞于2024年6月7日进行公开,虽然PHP已在8.3.8、8.2.20和8.1.29版本中发布了修复,但是披露该漏洞的台湾戴夫寇尔公司(DEVCORE)研究团队也做了说明,默认情况下,Windows 上所有版本的 XAMPP 安装都容易受到攻击,建议放弃PHP CGI,选择更安全的解决方案。

真实攻击案例

提取Apache日志对其分析,access.log中可以排查到被加密服务器存在攻击日志,可以找到php-cgi/php-cgi.exe的访问记录

184.94.212.101 - - [08/Jun/2024:02:59:36 +0800] "POST /php-cgi/php-cgi.exe?%ADd+cgi.force_redirect%3d0+%ADd+cgi.redirect_status_env+%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input HTTP/1.1" 200 73728

黑客通过该漏洞,利用这种访问方式可以在服务器执行任意代码,同样可以在服务器上投递加密器d3.hta,加密器执行后的加密样式如下图,服务器重要资料文件都被加密为.locked后缀的文件,并留下了READ_ME9.html的勒索信。

locked后缀加密文件和READ_ME9.html勒索信
locked后缀加密文件和READ_ME9.html勒索信

漏洞与传播

CVE-2024-4577漏洞介绍
PHP 语言在设计时忽略Windows 作业系统内部对字元编码转换的Best-Fit特性,导致未认证的攻击者可透过特定的字元序列绕过旧有CVE-2012-1823的保护;透过参数注入等攻击在远端PHP 服务器上执行任意代码。

根据CVE官方的记述,在带有该漏洞的环境中,PHP-CGI模块可能会将Windows系统传入的参数误识别为PHP的配置选项传递给正在运行的PHP程序,进而可能被恶意攻击者利用来实现“任意代码执行”的操作。

影响范围

目前已知受到该漏洞影响的操作系统仅为Winows系统,而受影响的PHP版本则为:

PHP 8.3 < 8.3.8
PHP 8.2 < 8.2.20
PHP 8.1 < 8.1.29
PHP 8.0.x 和 7.x 和 5.x

360记录的这次在野攻击传播勒索软件

在6月8日时,360安全大脑便监控到了该漏洞的在野攻击。在实际触发的在野攻击中,系统中的HTTP守护进程会将可触发漏洞的参数传递给php-cgi程序,进而导致php-cgi.exe调起系统的cmd命令行工具运行mshta解释器来获取在线的远程hta脚本(实际为vbs脚本)到本地并运行。

防护建议

升级PHP – 强烈推荐

强烈建议所有使用者升级至PHP 官方最新版本8.3.8、8.2.20与8.1.29,对于无法升级的系统可透过下列方式暂时缓解漏洞。

对XAMPP for Windows 使用者 可关闭php-cgi,可做临时防护使用,最好还是升级PHP

在撰写本文的当下,XAMPP 尚未发布此漏洞的相应更新文件,如果确认不需要 PHP CGI 功能,则可以通过修改以下 Apache HTTP Server 配置来避免暴露于此漏洞:

在 xampp/apache/conf/httpd.conf 文件中找到配置项 LoadModule cgi_module modules/mod_cgi.so ,将其注释掉,即修改为
#LoadModule cgi_module modules/mod_cgi.so
在 xampp/apache/conf/extra/httpd-xampp.conf 文件中找到配置项 ScriptAlias /php-cgi/ “C:/xampp/php/” ,将其注销掉,即修改为
#ScriptAlias /php-cgi/ “C:/xampp/php/”

漏洞检测脚本

该漏洞如何利用,如何检测网站是否存在该漏洞。你可参考下文提供的bash脚本来检测(就是提交包含phpinfo()的POST数据来访问包含特定参数的php-cgi链接,看是否能够得到phpinfo()信息)。

半亩方塘 » PHP CGI 远程代码执行漏洞【CVE-2024-4577】勒索攻击,locked后缀加密和READ_ME9.html勒索解密联系方式,XAMPP网站防护方法

Ksaa
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
做自己喜欢的事,并将其发挥到极致!
06-11 1886
PHP 在设计时忽略 Windows 中对字符转换的Best-Fit 特性,当 PHP-CGI 运行在Window平台且使用了如下语系(简体中文936/繁体中文950/日文932等)时,攻击者可构造恶意请求绕过 CVE-2012-1823 补丁,从而可在无需登陆的情况下执行任意PHP代码
[网络安全自学篇] 九十五.利用XAMPP任意命令执行提升权限(CVE-2020-11107)及防御措施
杨秀璋的专栏
09-16 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了木马病毒提权技术,包括进程访问令牌权限提升和Bypass UAC。这篇文章将复现CVE-2020-11107漏洞,利用XAMPP任意命令执行漏洞提升权限,希望对您有所帮助。
CGI安全概述
孤独是一种感觉
02-13 895
1.什么是CGI?  不要奇怪,有相当一部分人对CGI的概念还比较模糊,他们眼中的CGI就是Perl CGI,其实CGI是Common Gateway Interface(公用网关接口)的简称,并不特指一种语言。事实上,几乎任何支持标准输入输出的语言都可以称为CGI语言,如Perl,Php,C,VC++等都可以称为CGI语言。  2.什么是CGI安全?  这里所说的CGI安全,主要包括两个方面,一
CGI(Perl)的漏洞及防范措施
cnbird's blog
10-17 2914
CGI(Perl)的漏洞及防范措施(1)一般来说,编程语言本身并不是导致安全隐患的主要因素,事实上,软件的整体安全性仍然大部分取决于软件制造者的知识面、理解能力和安全意识。在这一小节里,我们将来介绍一下Perl中一些最普遍被误用和忽视的属性,以及这些属性被误用后对系统及数据的安全有什么样的威胁,并且还讲解了如何去发现并挖掘出这些隐患来进行修改。1. 用户输入上的弱点Perl脚本中产
CGI漏洞利用
weixin_33924220的博客
12-22 533
CGI漏洞是网管最容易乎视的地方,就我测试的这个网站上的漏洞, 我简单说一下,几个常见的漏洞地方。一般原理,解决方法,如果没有写全,请参考一些文献。 1,名字:?PageServices漏洞 这个漏洞是很多网站都有的。但是有好多人扫描出来确不知道如何运用,在此我简单谈一下吧,! 这个是可以显示页面清单的 方法是url/?PageServices 还可以这样试试 ! /?wp-...
漏洞预警丨XAMPPPHP-CGI模式下远程代码执行漏洞(CVE-2024-4577)
C20220511的博客
06-12 530
PHP是一种被广泛应用的开放源代码的多用途脚本语言,PHP-CGIPHP自带的FastCGI管理器。是一个实现了CGI协议的程序,用来解释PHP脚本的程序,2024年6 月7日,推特安全上orange公开了其漏洞细节,并且PHP官方已修复该漏洞。该漏洞仅适用于php版本为8.1 < 8.1.29,PHP 8.2 < 8.2.20,PHP 8.3 < 8.3.8,同时在php-cgi模式下运行php,并且运行在windows平台,且使用语系为繁体中文950、日文932、简体中文936等。
xammp php 漏洞,xampp 注射漏洞
weixin_35110758的博客
03-18 244
就插进去了,你可以随意构造语句了,又可以被读出来,看图Details:These are Cross-Site Request Forgery, SQL Injection and Full pathdisclosurevulnerabilities.CSRF:http://site/xampp/cds-fpdf.phpIt's possible to delete or add data in ...
PHP-CGI远程代码执行漏洞分析与防范
10-19
本文给大家介绍的是PHP-CGI远程代码执行漏洞CVE-2012-1823)分析和防范,这是最近爆出的一个php的比较严重的漏洞,这里分享给大家。
CVE-2023-40477 WinRAR 远程代码执行漏洞 PoC
09-02
WinRAR 拥有超过 500 亿用户,面临新漏洞CVE-2023-40477、CVE-2023-38831)。 今天,我们首次展示:CVE-2023-40477 的 PoC。 尽管 RCE 被认为是可利用的,但由于多种原因,其在实现过程中看起来并不乐观。 我们在...
XAMPP入门详解
热门推荐
cnds123的专栏
10-24 2万+
一个Web应用需要将代码部署到服务器上,这样才能让更多人访问。因此,搭建服务器是必不可少的环节。学习阶段,我们可以搭建一个本地服务器就能满足学习Web开发的需要。 建站需要安装一些软件。安装 Apache 、 MySQL、PHP,并把它们配置在一起协同工作,那是件不容易的事儿,幸好有一些成品的集成软件包可用。 XAMPP(Apache+MySQL+PHP+PERL)就是一个功能强大的建站集成软件包,易于安装且包含 MySQL、PHP 和 Perl 的 Apache 发行版。可以在W
cgi进程设置多少 宝塔_服务器宝塔面板上设置防护CC的方法
weixin_39707725的博客
10-29 211
服务器宝塔面板上设置防护CC的方法最好的防cc办法:别到处乱发自己的网站域名,不要到处求打,不要对自己的服务器有过大的信心。下面给大家讲一下宝塔防火墙设置:插件页面→全局配置→cc防御→初始规则建议规则:个人博客:周期:1秒 频率:5次~15次 封锁时间:3600秒 增强模式:关闭 四层防御:开启 自动模式:开启论坛:周期:1秒 频率:3次 封锁时间:360秒 增强模式:关闭 四层防御:开启 自动...
linux 常用的命令
caoyanzhi的博客
08-02 1936
一、文件和目录操作 ls:列出目录内容。 cd:切换当前工作目录。 pwd:显示当前工作目录的绝对路径。 mkdir:创建新目录。 rmdir:删除空目录。 rm:删除文件或目录(使用-r选项递归删除目录)。 cp:复制文件或目录。 mv:移动或重命名文件或目录。 touch:创建空文件或修改文件时间戳。 find:在目录树中搜索文件,并执行指定的操作。 二、文本查看和处理 cat:查看文件内容,并可以将多个文件内容合并后输出。 more:分页显示文件内容。 less:与more类
【DOCKER】基于DOCKER的服务之nginx文件下载服务器
最新发布
zhy29563
08-03 304
基于DOCKER的服务之nginx文件下载服务器
OpenSSH 远程代码执行漏洞(CVE-2024-6387)
07-04
<< OpenSSH 是一个广泛使用的开源网络协议,用于提供安全的远程登录(SSH)服务。CVE-2024-6387是一个公开的安全漏洞,也被称为“OpenSSH 命令注入漏洞”或“SSH Remote Code Execution (RCE)”,它发生在某些版本的 OpenSSH 中。 这个漏洞允许攻击者通过精心构造的 SSH 命令执行任意系统命令,从而获得对远程服务器的控制,如果用户权限足够,这可能导致严重的数据泄露或系统破坏。具体来说,攻击者能够利用该漏洞通过发送恶意 SSH 延迟请求,使得 SSH 服务器处理命令的过程中出现错误,从而绕过输入验证机制,得以执行未经授权的操作。 修复此漏洞方法通常是升级到最新版的 OpenSSH 客户端和服务器软件,因为开发团队通常会为这类高危漏洞发布补丁。为了保护系统安全,管理员应尽快应用这些更新,并限制不必要的 SSH 访问权限,只允许经过身份验证并有明确授权的用户连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值