PHP-CGI für Windows: Angriffe auf CVE-2024-4577 eskalieren

„CVE-2024-4577“ (CVSS 9.8 Kritisch) erklimmt soeben das Siegertreppchen der bösesten Sicherheitslücken: Anfang Juni 2024 von den Forschern bei Devcore aufgedeckt, wurde sie in nur 48 Stunden als Waffe eingesetzt. Sie ist eine Command Injection-Schwachstelle [CWE-78] im PHP-CGI OS und betrifft PHP für Windows. Sofort wurden Angriffe beobachtet, die die Ransomware „TellYouThePass“ verbreiteten, während sie als CVE (Common Vulnerabilities and Exposures) in die KEV-Liste (Known Exploited Vulnerabilities) der CISA (Cybersecurity and Infrastructure Security Agency) aufgenommen wurde. Monate später nimmt die Ausnutzung von CVE-2024-4577 plötzlich weiter zu.

Greenbone hat Schwachstellentests (VTs) bereitgestellt, um Systeme zu erkennen, die von CVE-2024-4577 betroffen sind, seit sie im Juni 2024 veröffentlicht wurde. So können Verteidiger betroffene Systeme in öffentlichen oder internen Netzwerkinfrastrukturen identifizieren. Sehen wir uns die Bedrohung durch CVE-2024-4577 genauer an.

So wird CVE-2024-4577 ausgenutzt

PoC-Exploit-Code (Proof of Concept) und eine vollständige technische Aufschlüsselung wurden bereits vor langer Zeit von watchTowr Labs veröffentlicht, ebenfalls Mitte 2024 wurde ein Metasploit-Modul veröffentlicht. Zusätzlich gaben kürzlich das CERT New Zealand (CERT NZ) und das Canadian Center for Cyber Security entsprechende Sicherheitswarnungen heraus. Und bereits im Juni 2024 warnten das CERT-EU und das CERT-FR (CERT der französischen Regierung) vor der Schwachstelle.

Aufgrund der Sicherheitslücke CVE-2024-4577 kann das PHP-CGI (Common Gateway Interface) bestimmte Zeichen als PHP-Parameter fehlinterpretieren, wodurch ein böswilliger Benutzer diese an die Binärdatei php.exe übergeben kann. Mit diesem Trick kann der Quellcode von Skripten offengelegt oder beliebiger PHP-Code auf dem Server ausgeführt werden. CVE-2024-4577 gilt als Umgehung einer bereits vor langer Zeit gepatchten Sicherheitslücke in PHP, nämlich CVE-2012-1823.

Für den Fall, dass sich Angreifer zunächst durch Social Engineering oder eine andere Software-Schwachstelle Zugang zum Netzwerk eines Opfers verschaffen, kann CVE-2024-4577 einem Angreifer die Möglichkeit bieten, sich seitlich zu bewegen oder sich heimlich festzusetzen, tiefer in die Infrastruktur eines Opfers einzudringen und den Aktionsradius eines Cyberangriffs zu vergrößern.

CVE-2024-4577 technisch gesehen

Kurz gesagt, arbeitet die Ausnutzung von CVE-2024-4577 mit der Unicode-Zeichenumwandlung, um bösartige Command-Line-Argumente in den php.exe-Prozess einzuschleusen. Auf einer hohen Ebene verhalten sich Webserver anders, wenn der CGI-Modus aktiviert ist. Normalerweise analysiert ein Webserver HTTP-Anfragen und leitet sie zur Verarbeitung an ein PHP-Skript weiter. Wenn jedoch der CGI-Modus aktiviert ist, werden Attribute aus der URL extrahiert und als Argumente an das ausführbare PHP-Binary (php.exe unter Windows) übergeben. Dieser PHP-CGI-Prozess ist dafür bekannt, dass er deutliche Sicherheitsrisiken birgt.

Obwohl PHP-GCI die Shell-Meta-Zeichen (wie Bindestriche, doppelte Bindestriche, das kaufmännische Und sowie Gleichheitszeichen) vor der Übergabe bereinigen soll, öffnet dies immer noch einen Weg zur Command Injection, wenn Angreifer einen Weg finden, den Bereinigungsprozess zu umgehen. Die PHP-CGI-Kodierung war auch das Ziel des Angriffs auf CVE-2012-1823. Darüber hinaus werden ständig ähnliche Kämpfe um die Zeichenkodierung ausgetragen, die den Angreifern neue Möglichkeiten zur Ausführung von XSS- und SQL-Injection-Schwachstellen bieten.

In der aktuellen Iteration dieses Angriffs können Angreifer unter Verwendung eines weichen Bindestrichs (0xAD) anstelle eines Standard-Bindestrichs (0x2D) PHP-Direktiven initiieren, um Remote Code Execution (RCE) zu erreichen. Dies liegt daran, dass Windows den UCS-2-Zeichensatz verwendet, alle Zeichen in den UCS-2-Codepunktwert konvertiert und außerdem eine zusätzliche „Best-Fit“-Konvertierung durchführt. Im Fall von CVE-2024-4577 ist es das Best-Fit-Schema, das weiche Bindestriche in Standard-Bindestriche umwandelt. Dadurch kann php.exe mit Argumenten injiziert werden, um den HTTP-Anfragekörper selbst voranzustellen und auszuführen, indem der Befehl „-d allow_url_include=1 -d auto_prepend_file=php://input“ mit URL-kodierten weichen Bindestrichen zum HTTP-GET-String hinzugefügt wird. Weiche Bindestriche sind in der Regel unsichtbare UTF-8-Zeichen, die zur Angabe von Wortumbrüchen an bestimmten Stellen verwendet werden, aber nur, wenn dies notwendig ist, damit der Text in die Zeile passt. Dank der Best-Fit-Konvertierung von Windows werden sie effektiv in Befehlszeilen-Flags umgewandelt.

CVE-2024-4577 wird dieses Jahr weltweit ausgenutzt

Neuen Berichten zufolge, die im März 2025 veröffentlicht wurden, sind Angriffe, die CVE-2024-4577 ausnutzen, kontinuierlich, weit verbreitet und eskalieren. Cisco entdeckte im Januar 2025 eine Ausnutzung von CVE-2024-4577, die auf japanische Unternehmen aus den Bereichen Bildung, E-Commerce und Telekommunikation abzielte. Nachdem sie sich zunächst über PHP Zugang verschafft hatten, installierten die Angreifer die „TaoWu“-Plugins von Cobalt Strike und änderten Windows Registry-Schlüssel, um über geplante Aufgaben dauerhaften Zugang zu erhalten.

Ein weiterer aktueller Bericht von GreyNoise zeigt, dass sich die massenhafte Ausnutzung von CVE-2024-4577 auf Ziele in den USA, Großbritannien, Singapur, Indonesien, Taiwan, Hongkong, Indien, Spanien und Malaysia ausgeweitet hat. Deutschland und China waren Berichten zufolge die Hauptquellen der Angriffe, die weltweit 43 % ausmachten. GreyNoise unterhält auch ein Honignetz, das allein im Januar 2025 über 1.089 eindeutige IPs mit Exploit-Versuchen entdeckte und 79 öffentlich verfügbare, spezialisierte Exploit-Kits zählte. Das Cybersicherheitsunternehmen warnte vor einem wachsenden Angriffsvolumen im Februar 2025, das durch automatisiertes Scannen angetrieben wird und auf eine schnell eskalierende Cyberbedrohung hinweist.

Abhilfe für CVE-2024-4577

CVE-2024-4577 betrifft alle PHP-Versionen (einschließlich PHP 5 und PHP 7, die am Ende ihrer Lebensdauer sind) vor 8.1.29, 8.2.20 und 8.3.8 unter Windows. Die beste Abhilfemaßnahme ist ein schnelles Upgrade auf eine gepatchte Version. In Umgebungen, in denen ein sofortiges Patchen nicht möglich ist, können Verteidiger die Ausführung des PHP-CGI-Modus zugunsten von PHP-FPM (FastCGI Process Manager) deaktivieren oder alternativ eine Web-Application-Firewall (WAF) einsetzen, um Angriffe zu filtern und zu blockieren. PHP-Systemadministratoren sollten auch einige zusätzliche Sicherheitsrisiken, die mit CGI verbunden sind, beachten und sie auf optimale Sicherheit überprüfen.

Greenbone hat Schwachstellentests (VTs) zur Verfügung gestellt, um Systeme zu erkennen, die von CVE-2024-4577 betroffen sind, seit es im Juni 2024 erstmals veröffentlicht wurde. Diese Früherkennungsfunktion ermöglicht es Verteidigern, betroffene Systeme in öffentlichen oder internen Netzwerken zu identifizieren. Die Erkennungstests von Greenbone umfassen Remote-Versionserkennungen [1][2] und eine aktive Remote-Prüfung [3].

Zusammenfassung

CVE-2024-4577 ist eine kritische PHP-CGI-Schwachstelle, die PHP-Installationen unter Windows betrifft und die RCE ermöglicht. Die Schwachstelle wurde innerhalb von 48 Stunden nach ihrer Offenlegung als Waffe eingesetzt und in TellYouThePass-Ransomware-Angriffen verwendet. Berichten von Cisco und GreyNoise zufolge ist die massenhafte Ausnutzung von CVE-2024-4577 weltweit eskaliert, und es wurden mehrere nationale CERT-Hinweise herausgegeben. Verteidiger müssen herausfinden, wo in ihrer Infrastruktur betroffene Produkte eingesetzt werden, und sofort auf eine korrigierte Version von PHP aktualisieren, PHP-CGI vollständig deaktivieren oder auf PHP-FPM (FastCGI Process Manager) umstellen.