8 jul 2024

CVE-2024-4577: Inyección de argumentos PHP en Windows


El pasado 6 de Junio, Orange Tsai reveló una nueva vulnerabilidad que afectaba a PHP, teniendo alcance sobre todas las versiones de PHP para Windows (PHP en modo CGI en particular en idiomas: chino y japonés), inclusive en instalaciones por defecto a los servidores XAMPP. 

La raíz del problema radica en un mal procesamiento de caracteres por parte del motor CGI (parecido a la vulnerabilidad de hace 12 años CVE-2012-1823). Este motor interpreta (0xAD) y decodifica como un “guion suave”, el cual, PHP convertirá en un “guion real” gracias a la función de mapeo “best fit”, permitiendo así que un agente malicioso se aproveche para ejecutar código arbitrario 

Versiones afectadas 

Esta vulnerabilidad ha sido calificada según las métricas del CVSS 3.1 como 9.8 crítica según NIST, y las versiones afectadas son: 

  • PHP 8.3 < 8.3.8 
  • PHP 8.2 < 8.2.20
  • PHP 8.1 < 8.1.29 

Explotación 

Para la explotación de esta vulnerabilidad son necesarias ciertas características en la máquina víctima: 

  • El software PHP debe estar configurado en modo CGI. 
  • Es posible la explotación si los binarios php.exe o php-cgi.exe están expuestos (todas las instalaciones por defecto en XAMPP para Windows). 
  • El sistema operativo debe ser Windows. 

Debido a que esta vulnerabilidad es muy parecida a la ya mencionada CVE-2012-1823, se pueden utilizar técnicas de explotación de esta. Para ello, según estas técnicas, para traducir la inyección en RCE, se debe intentar inyectar los siguientes argumentos: 


Esto permitirá la entrada del cuerpo de la solicitud HTTP y la procesará usando PHP. Se creó un ejemplo de petición añadiendo el “guion suave” en lugar del “guion real”, y en el cuerpo de la petición se añadió un código php que permitía ver la página phpinfo, demostrando que se consiguió el RCE. 



Como se pueden ver en las capturas, se ha conseguido ejecutar código mediante la inyección de argumentos en la petición. Esto supone un problema grave porque un agente malicioso podría utilizar esta vulnerabilidad para controlar cualquier máquina afectada por este CVE, afectando a la confidencialidad, integridad y disponibilidad de esta.

Identificación y mitigación de la vulnerabilidad 

Para identificar la vulnerabilidad en los sistemas, se puede realizar mediante la inspección de la versión de PHP. 

Para mitigar la vulnerabilidad principalmente se debe actualizar el software PHP a las nuevas versiones parcheadas: 

  • 8.3.8 
  • 8.2.20 
  • 8.1.29 

Es muy importante aplicar la actualización más reciente, ya que los agentes maliciosos están usando actualmente el rasomware TellYouThePass para explotarlo de forma activa. 


Javier Muñoz, Analista de Ciberseguridad en Zerolynx

1 jul 2024

CVE-2024-30078: Ejecución remota de código del controlador Wi-Fi de Windows




El pasado 11 de junio, Microsoft  publicó en sus noticias de parches una vulnerabilidad de alto impacto que afectaba al controlador de Wi-Fi de Windows, que consistía en una ejecución remota de código (RCE).

Explotación de la vulnerabilidad

Esta vulnerabilidad puede ser explotada por un atacante dentro del rango Wi-Fi de un dispositivo vulnerable, lo que le permite enviar paquetes especialmente diseñados al dispositivo sin necesidad de estar autenticado y sin necesidad de interacción del usuario. Si se explota con éxito, esto podría permitir al atacante ejecutar código arbitrario, lo que podría llevar a un compromiso completo del sistema.

En detalle

Un atacante puede aprovechar la vulnerabilidad del controlador Wi-Fi de Windows diseñando un punto de acceso Wi-Fi configurado con un SSID malicioso. Cuando el ordenador de la víctima escanea las redes Wi-Fi y encuentra el SSID del atacante, el código se ejecuta de forma remota en el sistema de la víctima.

El alcance del ataque puede incluir acceso no autorizado al sistema de la víctima, lo que podría provocar robo de datos, instalación de ransomware u otras acciones maliciosas.

La causa raíz de la vulnerabilidad es una validación de entrada incorrecta en el controlador Wi-Fi. Este fallo permite a un atacante manipular la entrada y desbordar un búfer, lo que puede ser explotado para ejecutar código malicioso de forma remota. 

Requisitos de ataque y versiones afectadas

Actualmente no existe un exploit publicado que permita probar la debilidad, aun así, para poder explotarla existen unos requisitos y características:

  • Es necesario estar cerca de la red del controlador, concretamente dentro del rango de red Wi-Fi.
  • La explotación se realiza sin necesidad de estar autenticado.

La vulnerabilidad ha sido catalogada con el identificador CVE-2024-30078 y tiene una puntuación de 8.8 según las métricas del CVSS 3.1.

Los sistemas afectados por esta vulnerabilidad son los siguientes:

  • Windows 10 (Versiones 1507, 1607, 1809, 21h2, 22h2)
  • Windows 11 (Versiones 21h2, 22h2, 22h3, 23h2)
  • Windows Server (2008 SP2, 2008 R2 SP1, 2012, 2012 R2, 2016, 2019, 2022, incluyendo las instalaciones Server Core)

Mitigación y detección de la vulnerabilidad

Para detectar esta vulnerabilidad es necesario revisar la versión actual del sistema.

Para mitigar esta vulnerabilidad el principal aspecto a tratar es:

  • Habilitar las actualizaciones automáticas, procurando tener la versión más reciente disponible.
  • Evitar conectarse a redes públicas.

Javier Muñoz, Analista de Ciberseguridad en Zerolynx.