PHP.CGI.Argument.Injection 취약점 (CVE-2024-4577)

 

PHP.CGI.Argument.Injection 취약점 (CVE-2024-4577)

개요

PHP.CGI.Argument.Injection은 2024년 6월에 발견된 심각한 원격 코드 실행(RCE) 취약점입니다. 이 취약점은 Windows 환경에서 실행되는 PHP CGI에 영향을 미치며, CVSS 점수 9.8(Critical)로 매우 위험합니다.

영향을 받는 버전

• PHP 8.3 < 8.3.8
• PHP 8.2 < 8.2.20
• PHP 8.1 < 8.1.29

취약점 메커니즘

1. Windows의 "Best-Fit Mapping" 기능을 악용합니다.
2. 소프트 하이픈(0xAD) 문자를 사용하여 CGI 핸들러의 이스케이프 처리를 우회합니다.
3. URL 쿼리 문자열에 %AD(URL 인코딩된 소프트 하이픈)를 포함시켜 PHP 프로세스에 임의의 명령줄 인수를 주입할 수 있습니다.

공격 예시

text

/test.php?%ADd+allow_url_include%3d1+%ADd+auto_prepend_file%3dphp://input

이 요청은 PHP에게 다음과 같은 명령줄 옵션을 전달합니다:

text

-d allow_url_include=1 -d auto_prepend_file=php://input

위험성

• 원격 코드 실행이 가능합니다.
• 공격자가 서버의 보안 설정을 우회하고 임의의 PHP 코드를 실행할 수 있습니다.
• XAMPP를 Windows에서 실행하는 경우 기본 설정으로 취약합니다.

대응 방안

1. PHP를 최신 버전(8.3.8, 8.2.20, 8.1.29)으로 업데이트합니다.
2. CGI 기능을 비활성화하거나 서버 구성을 수정합니다.
3. mod_rewrite 규칙을 추가하여 %AD를 포함한 요청을 차단합니다.
4. PHP 보안 설정을 강화합니다.
5. 웹 애플리케이션 방화벽(WAF)을 사용하여 의심스러운 요청을 필터링합니다.

취약점 탐지

• 웹 서버 로그에서 %AD를 포함한 비정상적인 URL 요청을 확인합니다.
• 네트워크 트래픽에서 URL 인코딩된 소프트 하이픈 문자(%AD)를 포함한 요청을 모니터링합니다.
• 취약점 스캐너를 사용하여 시스템을 정기적으로 점검합니다.

결론

PHP.CGI.Argument.Injection 취약점은 심각한 보안 위협이며, 신속한 대응이 필요합니다. 서버 관리자는 최신 보안 패치를 적용하고, 추가적인 보안 조치를 취해야 합니다. 지속적인 모니터링과 보안 업데이트가 중요합니다.