CVE-2024-4577: vulnerabilità critica di PHP che sfrutta la modalità CGI

Analisi tecnica di CVE-2024-4577, vulnerabilità critica in PHP CGI con CVSS 9.8. Attacchi osservati, payload diffusi e misure di mitigazione.

Nel panorama informatico odierno, il PHP è ampiamente utilizzato per creare e gestire siti web dinamici, permettendo agli sviluppatori di integrare al loro interno funzionalità avanzate come moduli di login o sistemi di gestione dei contenuti. Per questo motivo, una falla di sicurezza al suo interno può avere un impatto significativo sulla protezione delle infrastrutture digitali.

1. Caratteristiche tecniche di CVE-2024-4577
2. Come viene sfruttata la vulnerabilità
3. Gli attacchi in Giappone
4. Prevenzione e difesa

È quanto accaduto con CVE-2024-4577, una vulnerabilità altamente critica, con punteggio CVSS di 9.8 su 10, identificata il 18 giugno 2024. La falla riguarda le installazioni che utilizzano la CGI mode su sistemi Windows. L’ampia esposizione e semplicità di sfruttamento di CVE-2024-4577 l’ha resa una scelta privilegiata per i cybercriminali, che l’hanno sfruttata in attacchi RCE (Remote Code Execution) e diffondere pericolosi malware come Gh0st RAT e XMRig. Un attaccante, in particolare, ha sfruttato questa vulnerabilità per provocare ingenti danni a numerose aziende giapponesi.

In questo articolo approfondiremo le principali caratteristiche tecniche di CVE-2024-4577 e in che modo può compromettere sistemi e infrastrutture digitali. Inoltre, vedremo anche le principali linee guida da seguire per proteggersi da questa minaccia.

Caratteristiche tecniche di CVE-2024-4577

La vulnerabilità colpisce PHP fino alle versioni 8.1.28, 8.2.19 e 8.3.7, consentendo a un attaccante di eseguire comandi da remoto tramite una semplice richiesta HTTP. Nello specifico, i cybercriminali sfruttano lo stream php://input per inserire codice malevolo nel corpo della richiesta e forzarne l’esecuzione da parte del server. Tuttavia, non si tratta di una vulnerabilità del tutto nuova, in quanto già nel 2012 PHP, con CVE-2012-1823, aveva affrontato una falla simile basata sullo stesso principio.

Per garantire l’esecuzione del codice prima dello script principale, viene usata l’opzione auto_prepend_file, che forza l’inclusione automatica del file specificato. Alcuni attaccanti attivano anche la direttiva allow_url_include, che consente di caricare file direttamente da un web server esterno. In questo modo, oltre ai file locali, il server può eseguire contenuti ospitati su siti remoti, ampliando ulteriormente la superficie d’attacco.

Il problema diventa ancora più critico nella modalità CGI di PHP, in cui il server passa le richieste direttamente al processo php.exe. Generalmente, gli input vengono filtrati per prevenire attacchi di command injection, ma CVE-2024-4577 consente di aggirare questo meccanismo, sfruttando direttamente la gestione dei  caratteri Unicode. Infatti, Windows converte automaticamente alcuni simboli visivamente identici, come il trattino normale e il soft hyphen, in caratteri ASCII. PHP li interpreta come opzioni di riga di comando, consentendo così all’attaccante di aggiungere istruzioni malevole.

Sebbene l’uso della modalità CGI sia diminuito negli ultimi anni, molte infrastrutture digitali continuano ancora ad essere vulnerabili. In particolare, CVE-2024-4577 influisce anche sulla configurazione predefinita di XAMPP, una suite utilizzata da molti sviluppatori e amministratori di sistema e che include programmi come Apache, PHP e MySQL. Questo amplia la superficie d’attacco, perché non espone solo vecchi server di produzione, ma anche ambienti di test e sviluppo.

Come viene sfruttata la vulnerabilità

Già un giorno dopo la divulgazione, il team SIRT di Akamai ha osservato numerosi tentativi di exploit di CVE-2024-4577, a conferma della facilità con cui gli attori malevoli riescono a sfruttarla. Le analisi di Akamai hanno anche dimostrato che la vulnerabilità non colpisce tutti i sistemi allo stesso modo, ma che diventa particolarmente efficace sugli ambienti Windows configurati con locali asiatici, come:

• Cinese tradizionale;
• Cinese semplificato;
• Giapponese.

In queste configurazioni, il comportamento Best-Fit di Windows facilita la conversione dei caratteri Unicode e apre la strada allo sfruttamento della falla. Inoltre, l’esecuzione di codice da remoto ha permesso ai cybercriminali di distribuire anche diversi software malevoli all’interno dei sistemi colpiti, di cui si citano:

• Gh0st RAT: trojan di accesso remoto in grado di garantire lo spionaggio e il controllo persistente dei sistemi infetti.
• RedTail: cryptominer che sfrutta la potenza dei computer infetti per generare criptovaluta.
• Muhstik: malware che prende di mira server Linux e dispositivi IoT, impiegato sia per il mining che per lanciare attacchi DDoS.
• XMRig: software legittimo di mining della criptovaluta Monero, usato in modo per drenare risorse di calcolo delle vittime.

Gli attacchi in Giappone

Durante la prima metà di gennaio 2025, i ricercatori di Cisco Talos hanno individuato una serie di attacchi informatici condotti da un attore ancora non identificato. Le campagne hanno preso di mira diverse organizzazioni giapponesi operanti in settori strategici, tra cui:

• Tecnologia;
• E-commerce;
• Telecomunicazioni;
• Intrattenimento;
• Istruzione.

Accesso iniziale e impianto del payload

L’attaccante ha sfruttato CVE-2024-4577 facendo leva su uno script Python accessibile pubblicamente per individuare i server vulnerabili. Lo script invia una richiesta POST contenente del codice PHP malevolo e verifica l’effettiva esecuzione, chiedendo al server di calcolare l’hash MD5 della stringa “123456”. Se la risposta contiene il valore “e10adc3949ba59abbe56e057f20f883e” (hash corrispondente), significa che il server ha eseguito correttamente il codice e la vulnerabilità è stata sfruttata.

Compromesso il server, l’attaccante ha eseguito un comando PowerShell nascosto nel codice PHP, per scaricare ed eseguire uno script malevolo. Questo script conteneva il payload di Cobalt Strike, strumento legittimo di simulazione d’attacco spesso riutilizzato dai cybercriminali per ottenere accesso remoto persistente. Il payload stabiliva una connessione con l’infrastruttura di comando e controllo utilizzando percorsi HTTP dedicati e user-agent modificati, così da rendere il traffico meno riconoscibile.

Attività post-exploitation

Stabilito l’accesso remoto, l’attaccante ha eseguito una serie di comandi per consolidare la propria presenza nel sistema compromesso. In una prima fase ha raccolto informazioni di base sulla macchina e sugli utenti attivi, così da avere un quadro più chiaro dell’ambiente da colpire. Ha quindi sfruttato alcuni exploit noti della famiglia Potato (come JuicyPotato, RottenPotato e SweetPotato). Si tratta di strumenti pubblicamente disponibili che sfruttano vecchie debolezze di Windows per trasformare un utente con diritti limitati in un account con privilegi elevati.

Per garantire la persistenza, l’attaccante ha poi modificato chiavi di registro, creato attività pianificate e aggiunto nuovi servizi, assicurandosi così di poter mantenere l’accesso anche in caso di riavvio del sistema o di tentativi di rimozione.

Questo metodo ha portato i ricercatori a concludere, con un moderato livello di confidenza, che l’intera operazione fosse orientata non solo al furto di dati e all’escalation di privilegi, ma anche alla costruzione delle condizioni necessarie per condurre in futuro attività di spionaggio e ulteriori compromissioni all’interno dei sistemi colpiti.

Prevenzione e difesa

Sebbene la vulnerabilità CVE-2024-4577 interessi soprattutto specifiche configurazioni di PHP, i ricercatori avvertono che anche altri sisitemi potrebbero risultare esposti. Per questo motivo è fondamentale che utenti e organizzazioni adottino senza esitazione le misure di sicurezza raccomandate, così da ridurre al minimo il rischio di compromissione. Nello specifico, si consiglia di:

• Aggiornare tempestivamente PHP e disabilitare la modalità CGI.
  La vulnerabilità CVE-2024-4577 è già stata corretta nelle ultime versioni e non dovrebbe più rappresentare un pericolo per chi ha applicato le patch o ha disabilitato la configurazione CGI in ambienti Windows.
• Potenziare le capacità di rilevazione.
  Strumenti di difesa avanzati, come EDR e NDR sono in grado di intercettare attività sospette quali la modifica di chiavi di registro, la creazione di task pianificati o i tentativi di cancellazione dei log di sistema.
• Monitoraggio della rete e del traffico in uscita.
  Bloccare le connessioni anomale verso server di comando e controllo è essenziale per neutralizzare strumenti come Cobalt Strike, che si basano su canali HTTP o HTTPS per mantenere l’accesso remoto.

Gli attacchi legati a CVE-2024-4577 dimostrano come alcune vulnerabilità possano rapidamente trasformarsi in strumenti di intrusione avanzata, rendendo ancora più urgente adottare pratiche di sicurezza solide e aggiornate.