本サイトは、快適にご利用いただくためにクッキー(Cookie)を使用しております。
Cookieの使用に同意いただける場合は「同意する」ボタンを押してください。
なお本サイトのCookie使用については、「個人情報保護方針」をご覧ください。

最新情報

2024.07.12

2024年6月度 MBSD-SOCの検知傾向トピックス

著者:MBSD-SOC

PHP-CGIの脆弱性(CVE-2024-4577)を狙った攻撃

 今月は、PHP-CGIの脆弱性(CVE-2024-4577)を狙った攻撃が増加しました。本脆弱性は、Windows OS上のPHPにおいてシステムが特定のコードページに設定された場合に動作するBest-Fit機能(UnicodeをASCIIに変換する機能)に存在します。また、PHP CGIモジュールを使用している場合、攻撃者は本機能を悪用することで修正済みの脆弱性(CVE-2012-1823)をバイパスすることが可能となります。攻撃が成功した場合、リモートからコードを実行されてしまう恐れがあります。

 下図は、本脆弱性を狙った攻撃の検知数推移です。弊社SOCでは、6/7(金)に初検知し、6/8(土)以降に検知数が増加しました。既にPoC(概念実証コード)が公開されており悪用事例も報告されているため、当該製品を使用されている場合は、早急に最新のバージョンにアップデートすることをお勧めします。

図. PHP-CGIの脆弱性(CVE-2024-4577)を狙った攻撃の検知数推移

 以下は、弊社SOCで検知した攻撃例です。0xADが0x2D(ハイフン「-」のASCII値)と解釈されてしまうBest-Fit機能を悪用してPHP-CGIの脆弱性(CVE-2012-1823)で実装された修正をバイパスすることで、任意のコード実行を試みた通信となっています。

図. PHP-CGIの脆弱性(CVE-2024-4577)を狙った攻撃例
POST /php-cgi/php-cgi.exe?%ADd+allow_url_include%3D1+%ADd+auto_prepend_file%3Dphp://input HTTP/1.1
User-Agent: python-requests/2.32.3
Host: example.com
Content-Length: 23

<?php die('Te'.'sT');?>

 下表は、本脆弱性を狙った攻撃元国です。リトアニア、香港など複数の国からの攻撃を観測しています。

. PHP-CGIの脆弱性(CVE-2024-4577)を狙った攻撃国 上位5件
# 2024年6月
1 リトアニア 28.8%
2 香港 13.9%
3 フランス 9.1%
4 アメリカ 7.4%
5 シンガポール 6.4%

影響対象

 Windows OSにインストールされたPHPがCGIモードで動作している環境が影響対象です。

  • PHP 5.0.0 以上 8.1.29 未満
  • PHP 8.2.0 以上 8.2.20 未満
  • PHP 8.3.0 以上 8.3.8 未満

対策方法

 最新のバージョンにアップデートしてください。なお、本脆弱性は以下のバージョンで修正されております。

  • PHP 8.1.29
  • PHP 8.2.20
  • PHP 8.3.8

参考情報

マネージドサービス事業部
MBSD-SOC