PHP 그룹의 로고  

Gh0stRat 툴의 UI (출처: 트랜드마이크로) 

원격 코드 실행 취약점 CVE-2024-4577

최근 PHP의 원격 코드 실행 취약점(CVE-2024-4577)이 공격자들에 의해활발히 활용되고 있습니다.

PHP는 대표적인 서버 측 스크립트 언어이며, 전 세계 수 많은 웹 시스템의 기반이 되는 언어로 기본적으로 내장된 웹 관련 함수가 많아 웹 페이지 제작 시생산성이 높다는 장점이 있어 많이 사용되고 있는 언어입니다.

CVE-2024-4577 취약점은 원격 코드 실행 취약점으로 공격에 성공할 경우원격 PHP 서버에서 임의의 코드를 실행할 수 있게 되는 취약점 입니다. 공격자들은 이 취약점을 활용해 각종 멀웨어를 유포시키고 있습니다. 유포 되고 있는 대표적인 멀웨어는 고스트랫(Gh0stRat) 원격 접근 툴과 레드테일(RedTail) 암호 화폐 채굴 툴 등이 있습니다.  

CVE-2024-4577 취약점 테스트 

NVD의 CVE-2024-4577에 관한 설명과 CVSS 점수  

CVE-2024-4577 분석

PHP는 윈도우의 로케일 설정을 따르게 되며, 이에 따라 가장 유사한 다른 문자로 매핑하여 유니코드 문자를 지원하지 않는 시스템에서도 최대한 유사한 문자로 표현 할 수 있도록 인코딩 하는 기능인 Best-Fit Mapping을 사용해 인코딩을 하게 됩니다. 그리고 Best-Fit Mapping 기능이 유니코드 문자인 소프트 하이픈(“­”, 0xAD)을 일반 문자인 하이픈(“ - ”, 0x2D)으로 인코딩하면서 CVE-2024-4577 취약점이 발생 했습니다. PHP의 CGI 핸들러는 일반 하이픈(“ - ”)은 필터링 하지만 소프트 하이픈 (“­”)을 필터링 하지 않아 Best-Fit Mapping을 통해 변환된 하이픈(“ – “)으로 인자 삽입을 시도 할수 있게 되며, 이를 통해 원격 실행 공격을 시도 할 수 있게 됩니다. 

CVE-2024-4577은 해당 취약점을 통해 실제로 공격이 가능한지 보여주는시현 소스코드인 PoC가 공개되어 있으며, 공격 난이도도 낮아 실제 공격에 사용될 가능성이 높아 주의가 필요한 취약점입니다. 

결론 

최근 발견된 취약점 CVE-2024-4577를 다수의 공격자가 활발히 사용 중인 취약점 입니다. 이 취약점은 NIST에서 관리하는 국가취약점 데이터베이스(NVD)에서 CVSS 점수 9.8점을 받았을 정도로 심각한 위험으로 공격에 성공하게 된다면 원격 PHP 서버에서임의의 코드를 실행 할 수 있게 됩니다. 공격자들은 이 취약점을 통해서 고스트랫(Gh0stRat) 과 같은 원격 접속 툴이나 레드테일(RedTail)과 같은 암호 화폐 채굴 도구, XM리그라는 암호 화폐 멀웨어 등 각종 멀웨어를 설치해 다양한 손해를 입힐 수 있게 됩니다. 이 취약점은 이미 지난 6월 PHP 공식 그룹이 패치를 출시하였으며, 해당 취약점을 방지하기 위해 패치 하는 것이 권장됩니다. 

CVE-2024-4577에 대한 보안 권장 사항 

• KISA가 밝힌 영향을 받는 버전 

  • 8.3.8 이전 버전 침해사고 방지를 위해 8.3.8 버전으로 업데이트 권장

  • 8.2.20 이전 버전 침해사고 방지를 위해 8.2.20 버전으로 업데이트 권장

  • 8.1.29 이전 버전 침해사고 방지를 위해 8.1.29 버전으로 업데이트 권장

• 업데이트가 불가능한 경우, 윈도우용 XAMPP를 사용한다면 설정 파일에서 PHP CGI 디렉토리 노출 제거

• Rewrite 규칙을 사용하여 공격을 차단