Webセキュリティ 2024.08.23

早急に対策を！PHPの重大な脆弱性【CVE-2024-4577】

３行でわかる本記事のサマリ

・Windows上にインストールされたPHPサーバーが脆弱性の対象
・PoCが公開されており、容易に攻撃が可能な状況なため早急な対応が必要
・適切なWAFを導入することで、サーバーに変更を加えることなく防御可能

はじめに

2024年6月6日、セキュリティ企業DEVCOREによりPHPに脆弱性（CVE-2024-4577）があると公表されました。脆弱性が悪用された場合、リモートから任意のコードを実行される等の可能性があります。
この脆弱性は既に悪用を実証するコード（PoC）が公開されており、容易に攻撃が可能な状況なため、緊急の対策が必要です。また、セキュリティ企業 Impervaは2024年6月10日、本脆弱性がランサムウェアキャンペーンに利用されたことを公表しています。本記事では、新たな脆弱性の解説及び対策について解説します。

1.CVE-2024-4577概要

特定の環境下でPHPサーバーを利用している場合、リモートコード実行することが可能となる脆弱性です。下記に該当する環境を利用している場合、緊急の対策が必要となります。

【該当環境】（2024年6月6日時点）
＊Windows OS上でPHPサーバーを稼働している

＊Windowsが下記ロケールにて実行されている
　・Traditional Chinese (Code Page 950)
　・Simplified Chinese (Code Page 936)
　・Japanese (Code Page 932)
　※上記ロケール以外でも脆弱性が存在している可能性があります。
　確認されているのは上記3つです。

＊PHPバージョン
　・PHP 8.3 系：8.3.8未満のバージョン
　・PHP 8.2系：8.2.20未満のバージョン
　・PHP 8.1系：8.1.29未満のバージョン
　※PHP8.0以前のバージョンにも脆弱性があると考えられていますが、
　サポート終了となっているため、対策バージョンは提供されていません。

＊PHPがCGIモードで実行される

＊Windows上でXamppをご利用されている場合、本脆弱性に該当致します。

2.攻撃方法

本脆弱性は、過去対策済み脆弱性CVE-2012-1823に対する保護をWindowsのBest-Fit機能によってバイパスされることによって引き起こされます。CVE-2012-1823の脆弱性は-（ハイフン）を含むクエリをサーバーへ渡すことによって、RCEが成功します。そのためクエリに-（ハイフン）が含まれている際、保護機能が働くようにして対策されていました。ただし、WindowsのBest-Fit機能によって、保護機能に認識されないように-（ハイフン）をサーバーへ渡すことが可能となり、RCEが成功します。

3.対策方法

対策手段としては、以下の3つが挙げられます。

PHPのバージョンアップ
PHP 8.1系、8.2系、8.3系では最新バージョンによって本脆弱性が対策されています。ただし、アップデートすることでサービスに支障がないかを検証する必要があることから、対策が遅れてしまう可能性があります。

PHPサーバーの設定を変更
PHPをCGIモードで実行しないようにする変更や、処理の内容を書き換える設定によって対策は可能です。ただし、こちらに関してもサービスに支障がないかの検証が必要であることや、確実にブロックするには網羅的に設定を確認する必要があります。

WAFを導入
WAF（Web Application Firewall）を導入することで、PHPサーバーへの変更（バージョンアップや設定変更）を伴わずとも対策可能です。また、WAFは最新の攻撃に合わせてアップデートされ続けるため、今回のように新たな脆弱性が発見された場合も直ちに対策することができます。
弊社の取り扱うImperva社WAF製品は、今回の攻撃に対して迅速にアップデートされ対策が可能になっています。

4.まとめ

本記事では、新たな脆弱性の概要とその対策方法について解説しました。
脆弱性の対策として、サーバーのバージョンアップや設定を変更する方法がありますが、対策までに時間がかかることや、新たな脆弱性発見のたびににサーバーに変更を加えることはあまり現実的とは言えません。適切なWAFは導入することで今回の脆弱性の対策になるだけでなく、新たな脆弱性が発見された際にも即座に対策可能です。

WAF導入や、既存WAFからの乗り換えを検討されている場合は、是非弊社までご相談ください。