全球主要網站使用語言之一PHP於6月6日晚間發布最新漏洞修補安全更新,協助使用者緩解重大RCE漏洞CVE-2024-4577所帶來的威脅。DEVCORE作為首先揭露此零時差漏洞的團隊,建議Windows繁體中文、簡體中文、日文三種語系的使用者,儘速依照PHP公告建議,將系統更新至8.3.8、8.2.20、8.1.29版本,避免漏洞遭有心人士利用,導致個人或企業的機敏資料外洩或更嚴重的資產損失危機。
PHP為最常見網站使用語言之一,數據顯示全球有近八成網站使用該語言撰寫而成。PHP於6日釋出的最新安全更新,已修補由DEVCORE研究團隊回報的重大RCE(Remote Code Execution,遠端程式碼執行)零時差漏洞(Zero-Day Vulnerability,亦稱0-day)CVE-2024-4577,且該漏洞具高度的易用性及嚴重性。
該漏洞源自於PHP程式語言設計時的疏失,允許未認證的攻擊者在遠端伺服器執行任意程式碼,漏洞影響範圍廣泛,包含安裝於Windows作業系統上繁體中文、簡體中文、日文三個語系的所有PHP版本。建議使用者應盡快更新至PHP官方最新8.3.8、8.2.20、8.1.29版本,降低資訊外洩的風險。非上述三語系使用情境的使用者,仍需全面盤點資產、確認使用情境並將 PHP 更新至最新版本。
同時,受影響的情境也包含所有版本的XAMPP for Windows安裝的預設設定。XAMPP作為便於開發者整合、使用的軟體安裝包,是在Windows作業系統上使用PHP的主要解決方案之一,使用者可以運用XAMPP輕易地建立網頁伺服器,Windows版本每月下載量超越200萬次,至今累計下載量更已突破上億次。由於XAMPP尚未針對此漏洞釋出相對應的更新安裝檔,使用者如確認自身未使用PHP CGI功能,仍可修改Apache Httpd設定檔,以避免暴露在弱點中。
DEVCORE研究團隊致力於研究攻擊技術及戰略,鑽研各類型攻擊手法,長期針對Microsoft、Amazon、Google、Netflix等全球通用的產品或系統,找出對世界具重大影響的潛在漏洞。本次回報遵循責任揭露(Responsible Disclosure)原則,發現後於2024年5月7日第一時間向PHP回報存在此問題,以避免該漏洞遭有心人士利用,造成全球用戶重大損失。
DEVCORE首席資安研究員蔡政達(Orange Tsai)指出,由於PHP在網站生態使用極為廣泛、而且該弱點易於重現,DEVCORE在發現的當下,就認知到弱點影響性相當高,並將它標記為「嚴重」、在第一時間回報給官方請求修補。希望未來持續透過團隊的研究能力,提前找到更多的資安弱點,運用我們的力量,為網路安全、世界再多盡一份心力。