全球主要網站使用語言之一 PHP 於本月 6 日晚間發布最新漏洞修補安全更新,協助使用者緩解重大 RCE 漏洞 CVE-2024-4577 所帶來的威脅。DEVCORE 作為首先揭露此零時差漏洞的團隊,建議Windows 繁體中文、簡體中文、日文三種語系的使用者,儘速依照 PHP 公告建議,將系統更新至 8.3.8、8.2.20、8.1.29 版本,避免漏洞遭有心人士利用,導致個人或企業的機敏資料外洩或更嚴重的資產損失危機。
PHP 為最常見網站使用語言之一,數據顯示全球有近八成網站使用該語言撰寫而成[1]。PHP 於 6 日釋出的最新安全更新,已修補由 DEVCORE 研究團隊回報的重大 RCE(Remote Code Execution,遠端程式碼執行)零時差漏洞(Zero-Day Vulnerability,亦稱 0-day)CVE-2024-4577,且該漏洞具高度的易用性及嚴重性。
該漏洞源自於 PHP 程式語言設計時的疏失,允許未認證的攻擊者在遠端伺服器執行任意程式碼,漏洞影響範圍廣泛,包含安裝於 Windows 作業系統上繁體中文、簡體中文、日文三個語系的所有 PHP 版本。建議使用者應盡快更新至 PHP 官方最新 8.3.8、8.2.20、8.1.29 版本,降低資訊外洩的風險。非上述三語系使用情境的使用者,仍需全面盤點資產、確認使用情境並將 PHP 更新至最新版本。
同時,受影響的情境也包含所有版本的 XAMPP for Windows 安裝的預設設定。XAMPP[2] 作為便於開發者整合、使用的軟體安裝包,是在 Windows 作業系統上使用 PHP 的主要解決方案之一,使用者可以運用 XAMPP 輕易地建立網頁伺服器,Windows 版本每月下載量超越 200 萬次,至今累計下載量更已突破上億次[3]。由於 XAMPP 尚未針對此漏洞釋出相對應的更新安裝檔,使用者如確認自身未使用 PHP CGI 功能,仍可修改 Apache Httpd 設定檔,以避免暴露在弱點中。
領先全球揭露並回報重大漏洞!DEVCORE 深厚的前瞻研究能量鎮守開發者資安
DEVCORE 研究團隊致力於研究攻擊技術及戰略,鑽研各類型攻擊手法,長期針對 Microsoft、Amazon、Google、Netflix 等全球通用的產品或系統,找出對世界具重大影響的潛在漏洞。
本次回報遵循責任揭露(Responsible Disclosure)原則,發現後於 2024 年 5 月 7 日第一時間向 PHP 回報存在此問題,以避免該漏洞遭有心人士利用,造成全球用戶重大損失。
DEVCORE 首席資安研究員蔡政達(Orange Tsai)指出,「由於 PHP 在網站生態使用極為廣泛、而且該弱點易於重現,我們在發現的當下,就認知到弱點影響性相當高,並將它標記為『嚴重』、在第一時間回報給官方請求修補。希望未來持續透過團隊的研究能力,提前找到更多的資安弱點,運用我們的力量,為網路安全、世界再多盡一份心力。」
[1] 相關數據來源為 W3Techs 網站。
[2] XAMPP 是便於開發者建置環境的軟體安裝包,分別代表著 X – 可支援跨平台、A – Apache(網頁伺服器)、M – MySQL 或 MariaDB(資料庫)、P- PHP(程式語言)、P – Perl(程式語言)。
[3] XAMPP 下載量相關數據來源為 SourceForge 網站。