요약 | - Windows 서버 대상 PHP 원격 코드 실행 취약점(CVE-2024-4577) 악용 사례 급증 - 공격에 성공할 경우 시스템 전체가 장악될 위험이 있어 기업 및 기관의 신속한 대응이 요구 |
내용 | - CVE-2024-4577 > Windows 환경에서 PHP의 CGI 구현이 문자 인코딩 변환을 적절히 처리하지 못해 발생 > 윈도우 코드 페이지의 ‘Best-Fit’ 기능이 특정 유니코드 문자를 PHP 명령줄 옵션으로 잘못 해석해 명령 실행 가능 > 공격자는 일반 대시(-, 0x2D)가 아닌 소프트 하이폰(-, 0xAD)를 사용 > PHP-CGI 8.3.8 이전 버전, 8.2.20 이전 버전, 8.1.29 이전 버전에 영향 > PHP-CGI 8.3.8, 8.2.20, 8.1.29 버전에서 취약점을 수정 - 25.01 한 달 동안 전 세계 허니팟에서 해당 취약점을 노리는 1,089개의 고유 IP 주소가 탐지 > 공격자들은 취약점을 악용해 시스템 침투 및 자격 증명 탈취, 지속적인 접근 권한 확보 시도 > 단순한 데이터 탈취를 넘어 권한을 상승시켜 "TaoWu" Cobalt Strike 킷과 같은 고급 공격 도구를 활용하는 등 적극적인 공격을 전개 > Gh0st RAT, XMRig를 설치하거나, 랜섬웨어 공격자들은 웹쉘을 배포하고 시스템을 암호화 - 취약점 완화를 위해 신속한 패치 적용 권고 > 웹 서버에서 PHP 실행 파일이 외부에서 접근할 수 있는 디렉터리에 노출되지 않도록 설정 변경 필요 > 윈도우 환경에서 XAMPP를 사용하는 경우 PHP 실행 파일이 기본적으로 노출되는 문제가 있어, 추가적인 보안 조치가 필요 > 불필요한 서비스와 프로토콜을 비활성화 > 최소 권한 원칙 적용 > 네트워크 모니터링을 강화 > 악성코드 감염 여부를 지속적으로 점검 |
기타 | 보안 패치의 중요성이 다시 한번 강조된 사례 > 공격자들은 지속적으로 자동화된 스캔을 수행하며 패치되지 않은 시스템을 탐색하기 때문 |
보안뉴스
PHP 원격 코드 실행 취약점, 전 세계적으로 악용 사례 급증...주의 - 데일리시큐
PHP에서 발견된 심각한 보안 취약점이 전 세계적으로 악용되며 윈도우 기반 서버가 심각한 위협에 직면했다. 해당 취약점은 CVE-2024-4577로, PHP가 CGI(Common Gateway Interface) 모드에서 실행될 때 원격 공
www.dailysecu.com
PHP-CGI Argument Injection 취약점 (CVE-2024-4577)
1. PHP-CGI (Common Gateway Interface)- CGI(Common Gateway Interface): 웹 서버와 외부 프로그램 간의 상호 작용을 위한 표준 인턴페이스- 웹 서버는 사용자 요청에 PHP 스크립트 포함된 경우 해당 스크립트를 PHP
ggonmerr.tistory.com
'보안뉴스' 카테고리의 다른 글
KISA, 해킹 진단 도구 업데이트..리눅스 추가 지원 (0) | 2025.04.03 |
---|---|
GitHub의 가짜 "보안 경고" 문제는 OAuth 앱을 사용하여 계정을 탈취합니다 (0) | 2025.03.18 |
중국산 블루투스 칩, 비공개 명령어 몰래 탑재..전세계 IoT기기 백도어 공격 우려 외 2건 (0) | 2025.03.11 |
국정원, 소프트웨어 공급망 보안 취약점 노린 북한 해킹 경고 (0) | 2025.03.09 |
LLM 학습 데이터에서 1만2천개 이상 API 키 및 비밀번호 노출 확인 (0) | 2025.03.01 |